Vulnerabilitate WhatsApp, folosită pentru a trimite mesaje false în numele utilizatorilor

WhatsApp a ieşit mai mult decât şifonat după conferinţa Black Hat 2019, experţi în securitate descoperind mai multe vulnerabilităţi care pun în pericol siguranţa şi intimitatea conversaţiilor, una dintre acestea permiţând chiar falsificarea mesajelor.

Demonstrată live în cadrul evenimentului, o nouă vulnerabilitate permite unui hacker rău intenţionat să schimbe după bunul plac identitatea atribuită mesajelor, intervenind în conversaţiile private purtate între utilizatori pentru a insera răspunsuri în numele acestora. Metoda descoperită nu necesită ca atacatorul să fie deja inclus în grupul de discuţie respectiv şi permite inclusiv alterarea mesajelor private, astfel încât răspunsul persoanei vizate să apară vizibil pentru întreg grupul de conversaţie.

Cei care au descoperit aceste vulnerabilităţi, un grup numit Check Point Research, confirmă că au informat administratorii WhatsApp despre acestea încă din anul 2018, însă aceştia au remediat doar problema care permite transformarea mesajelor în private în mesaje de grup. În schimb, vulnerabilitatea care permite impersonarea altor utilizatori WhatsApp şi trimiterea de mesaje în numele acestora este accesibilă şi în prezent.

Pentru ca atacul să reuşească, experţii Check Point Research au folosit un software de creaţie proprie, numit Burp Suit Extension, creat pentru a sparge criptarea în sistem end-to-end şi intercepta schimburile de mesaje, profitând de faptul că versiunea web a clientului WatsApp se asociază cu telefonul mobil folosind coduri QR. Cheia publică şi cea privată folosită pentru criptarea ulterioară a conversaţiilor, împreună cu parametrul secret transmis prin scanarea codului QR, nu sunt tocmai uşor de obţinut în afara experimentului documentat video. În plus, nu mulţi utilizatori folosesc versiunea web a clientului WhatsApp, aplicaţia pentru mobil fiind de departe cea mai populară.

Contactaţi pentru clarificări, oficialii WhatsApp au comparat atacul cu intervenţiile pentru alterarea unui schimb de mesaje pe email, cu scopul de a insera conţinuts ce nu aparţine expeditorul mesajului. În cazul WhatsApp, vulnerabilitatea este expusă abia după spargerea sistemului de criptare a conversaţiilor, în practică foarte dificil de făcut.