A falha do WhatsApp permite que os usuários modifiquem os bate-papos em grupo para espalhar notícias falsas
A falha do WhatsApp permite que os usuários modifiquem os bate-papos em grupo para espalhar notícias falsas
8 de agosto de 2018Swati Khandelwal
O WhatsApp, o aplicativo de mensagens mais popular do mundo, foi considerado vulnerável a várias vulnerabilidades de segurança que podem permitir que usuários mal-intencionados interceptem e modifiquem o conteúdo de mensagens enviadas em conversas privadas e em grupo.
Descobertas por pesquisadores de segurança da empresa de segurança israelense Check Point, as falhas tiram proveito de uma brecha nos protocolos de segurança do WhatsApp para mudar o conteúdo das mensagens, permitindo que usuários maliciosos criem e divulguem informações falsas ou falsas notícias do que parecem ser fontes confiáveis. "
As falhas residem na forma como o aplicativo móvel WhatsApp se conecta ao WhatsApp Web e descriptografa mensagens criptografadas de ponta a ponta usando o protocolo protobuf2 .
As vulnerabilidades podem permitir que os hackers usem mal o recurso de "cotação" em uma conversa em grupo do WhatsApp para alterar a identidade do remetente ou alterar o conteúdo da resposta de alguém para um bate-papo em grupo ou até mesmo enviar mensagens particulares para um dos participantes do grupo ( mas invisível para os outros membros) disfarçada de mensagem em grupo para todos.
Em um exemplo, os pesquisadores foram capazes de mudar uma entrada WhatsApp bate-papo que disse " Great! '-sent por um membro de um grupo de ler' eu vou morrer, em um hospital agora! "
Deve-se notar que as vulnerabilidades relatadas não permitem que uma terceira pessoa intercepte ou modifique mensagens WhatsApp criptografadas de ponta a ponta, mas as falhas podem ser exploradas apenas por usuários mal-intencionados que já fazem parte de conversas em grupo.
Para explorar essas vulnerabilidades, os pesquisadores da CheckPoint - Dikla Barda, Roman Zaikin e Oded Vanunu - criaram uma nova extensão personalizada para o popular software Burp Suite, que permite interceptar e modificar facilmente mensagens criptografadas enviadas e recebidas em seu WhatsApp Web. .
A ferramenta, que eles chamaram de " Ferramenta Burp de descriptografia do protocolo WhatsApp " , está disponível gratuitamente no Github e primeiro exige que um invasor insira suas chaves pública e privada, que podem ser obtidas facilmente "obtidas da fase de geração de chaves do WhatsApp Web antes o código QR é gerado ", como explicado pelo trio em um post no blog .
Usando a extensão Burp Suite, um usuário mal-intencionado do WhatsApp pode alterar o conteúdo da resposta de outra pessoa, basicamente colocando palavras na boca, como mostrado no vídeo.
O terceiro ataque do WhatsApp permite que um usuário do grupo mal-intencionado envie uma mensagem especialmente criada que somente uma pessoa específica poderá ver. Se o indivíduo segmentado responder à mesma mensagem, apenas seu conteúdo será exibido para todos no grupo.
O trio relatou as falhas da equipe de segurança do WhatsApp, mas a empresa argumentou que, como essas mensagens não quebram a funcionalidade fundamental da criptografia de ponta a ponta, os usuários "sempre têm a opção de bloquear um remetente que tenta falsificar mensagens e eles podem relatar conteúdo problemático para nós ".
Descobertas por pesquisadores de segurança da empresa de segurança israelense Check Point, as falhas tiram proveito de uma brecha nos protocolos de segurança do WhatsApp para mudar o conteúdo das mensagens, permitindo que usuários maliciosos criem e divulguem informações falsas ou falsas notícias do que parecem ser fontes confiáveis. "
As falhas residem na forma como o aplicativo móvel WhatsApp se conecta ao WhatsApp Web e descriptografa mensagens criptografadas de ponta a ponta usando o protocolo protobuf2 .
As vulnerabilidades podem permitir que os hackers usem mal o recurso de "cotação" em uma conversa em grupo do WhatsApp para alterar a identidade do remetente ou alterar o conteúdo da resposta de alguém para um bate-papo em grupo ou até mesmo enviar mensagens particulares para um dos participantes do grupo ( mas invisível para os outros membros) disfarçada de mensagem em grupo para todos.
Em um exemplo, os pesquisadores foram capazes de mudar uma entrada WhatsApp bate-papo que disse " Great! '-sent por um membro de um grupo de ler' eu vou morrer, em um hospital agora! "
Deve-se notar que as vulnerabilidades relatadas não permitem que uma terceira pessoa intercepte ou modifique mensagens WhatsApp criptografadas de ponta a ponta, mas as falhas podem ser exploradas apenas por usuários mal-intencionados que já fazem parte de conversas em grupo.
Video Demonstration - Como Modificar os Chats do WhatsApp
A ferramenta, que eles chamaram de " Ferramenta Burp de descriptografia do protocolo WhatsApp " , está disponível gratuitamente no Github e primeiro exige que um invasor insira suas chaves pública e privada, que podem ser obtidas facilmente "obtidas da fase de geração de chaves do WhatsApp Web antes o código QR é gerado ", como explicado pelo trio em um post no blog .
"Ao descriptografar a comunicação do WhatsApp, pudemos ver todos os parâmetros que são realmente enviados entre a versão móvel do WhatsApp e a versão da Web. Isso nos permitiu ser capaz de manipulá-los e começar a procurar por problemas de segurança."No vídeo do YouTube mostrado acima, os pesquisadores demonstraram as três técnicas diferentes que desenvolveram, o que lhes permitiu:
Ataque 1 - Mudando a resposta de um correspondente para colocar palavras em sua boca
Usando a extensão Burp Suite, um usuário mal-intencionado do WhatsApp pode alterar o conteúdo da resposta de outra pessoa, basicamente colocando palavras na boca, como mostrado no vídeo.
Ataque 2 - Alterar a identidade de um remetente em um bate-papo em grupo, mesmo que ele não seja um membro
O ataque permite que um usuário mal-intencionado em um grupo do WhatsApp explore o recurso de "cotação" - que permite aos usuários responder a uma mensagem passada em um bate-papo - em uma conversa para falsificar uma mensagem de resposta para representar outro membro do grupo e até mesmo um não. membro do grupo existente.Ataque 3 - Enviar uma mensagem privada em um grupo de bate-papo, mas quando o destinatário responde, o grupo inteiro o vê
O terceiro ataque do WhatsApp permite que um usuário do grupo mal-intencionado envie uma mensagem especialmente criada que somente uma pessoa específica poderá ver. Se o indivíduo segmentado responder à mesma mensagem, apenas seu conteúdo será exibido para todos no grupo.
WhatsApp / Facebook escolher para esquerda relatou ataques sem patches
O trio relatou as falhas da equipe de segurança do WhatsApp, mas a empresa argumentou que, como essas mensagens não quebram a funcionalidade fundamental da criptografia de ponta a ponta, os usuários "sempre têm a opção de bloquear um remetente que tenta falsificar mensagens e eles podem relatar conteúdo problemático para nós ".
"Estes são trade-offs de design que foram previamente levantados em público, inclusive pela Signal em um post de 2014, e não pretendemos fazer nenhuma alteração no WhatsApp neste momento", disse a equipe de segurança do WhatsApp aos pesquisadores.Outro argumento que o WhatsApp compartilhou com os pesquisadores, no contexto de por que a empresa não pode interromper a modificação do conteúdo da mensagem - "Esse é um caso conhecido que se relaciona ao fato de não armazenarmos mensagens em nossos servidores e não temos uma única fonte de verdade para essas mensagens ".
"Meu ponto era a desinformação, e o WhatsApp desempenha um papel vital em nossa atividade diária. Então, no meu ponto de vista, eles realmente precisam resolver esses problemas", disse o pesquisador da CheckPoint, Roman Zaikin.Como o WhatsApp se tornou uma das maiores ferramentas para espalhar notícias falsas e desinformação, pelo menos em países com questões políticas altamente voláteis, acreditamos que o WhatsApp deva corrigir esses problemas, além de limitar as mensagens encaminhadas.
"É sempre funcionalidade versus segurança e, desta vez, o WhatsApp escolhe a funcionalidade."
Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook , Twitter ou no nosso Grupo LinkedIn .
Comentários
Postar um comentário