html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

Исследователи рассказали, как можно распространять ложную информацию через WhatsApp

Что случилось?

Аналитики компании Check Point нашли способ перехватывать и изменять сообщения, отправленные собеседниками в групповых или приватных чатах WhatsApp. Так, мошенники могут изменять «цитату» — функцию, которая позволяет людям отвечать на определенное сообщение в чате, — и создавать впечатление, что собеседник отправил сообщение, которого не было на самом деле.

Проблема позволяет осуществить три вида возможных атак:

  • редактировать слова собеседника в ответном сообщении;
  • в групповом чате создавать ответы на сообщения человека, которого нет в этом чате, чтобы всем казалось, что он также включен в этот чат;
  • отправлять в групповой чат сообщения, которые на самом деле видит лишь один участник чата. Однако ответ жертвы будет виден всем участникам группы.

Видео ниже демонстрирует атаку в работе и наглядно показывает возможные сценарии эксплуатации проблемы.

Как это работает?

Как известно, WhatsApp шифрует все сообщения, картинки, звонки, видео и прочий контент, которым обмениваются пользователи. Специалисты Check Point заинтересовались тем, как именно реализованы процессы шифрования. Так им удалось обнаружить, что мобильное приложение WhatsApp использует protobuf2, когда общается с веб-версией клиента.

Конвертировав данные protobuf2 в Json специалисты получили возможность видеть передаваемые параметры, а также манипулировать ими. В результате реверсинга и исследований инженеры CheckPoint создали расширение для Burp Suite, которое позволяет перехватывать и подделывать сообщения в WhatsApp. Исходные коды этого инструмента уже опубликованы на GitHub.

Разумеется, чтобы реализовать вышеописанные варианты атак злоумышленнику так же понадобятся приватный и публичный ключи. В своем отчете исследователи посвятили работе шифрования в WhatApp отдельный параграф, где в мельчайших деталях описывают все технические нюансы проделанной работы.

Сокращенная же версия звучит просто: необходимые для работы Burp Suite-расширения ключи можно получить на этапе их генерации в WhatsApp Web, до создания QR-кода. Также потребуется и параметр secret, который мобильное устройство отправляет WhatsApp Web во время сканирования QR-кода. После этого у злоумышленника есть все необходимое для работы инструмента.

Реакция WhatsApp

Интересно, что исследователи давно уведомили разработчиков WhatsApp о проблеме, однако в компании сочли, что результаты, полученные специалистами Check Point, не имеют никакого отношения к безопасности фундаментальных функций приложения и end-to-end шифрования. Также в компании полагают, что пользователи всегда могут заблокировать отправителей фальшивых сообщений и сообщить о них разработчикам. Фактически, в компании проблему сочли несущественной, заявив:

«Мы внимательно изучили данную проблему, она эквивалента подделке email, чтобы письмо содержало что-то, чего человек никогда не писал».

Специалисты Check Point, в свою очередь, настаивают на том, что проблема весьма серьезная. Дело в том, что ранее WhatsApp уже подвергался критике за распространение ложной информации и так называемых «фальшивых новостей». К примеру, в начале июля 2018 года в Индии сообщения о похищениях детей и насилии над ними привели к тому, что толпа убивала людей на основе этих слухов.

В итоге в конце июля 2018 года разработчики мессенджера сообщили, что будут ограничивать возможность пересылки сообщений сразу в несколько чатов для пользователей из Индии.

Эксперты Check Point полагают, что обнаруженная ими проблема может создать потенциальные возможности для распространения фейковых новостей и других типов мошенничества. Например, атакующие могут распространять дезинформацию об определенном продукте, чтобы нанести ущерб компании.

Напомню, что по состоянию на начало 2018 года мессенджер, принадлежащий компании Facebook, насчитывает более 1,5 миллиарда пользователей, больше миллиарда групп и 65 миллиардов сообщений, отправляемых каждый день. Кроме того, WhatsApp планирует представить дополнительные функции для бизнеса, чтобы улучшить управление продажами и поддержкой клиентов через приложение.

Читать дальше
Twitter
Одноклассники
Мой Мир

материал с xakep.ru

1

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • xakep.ru
          • домен xakep.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции