Новая уязвимость WhatsApp дает изменять чужие сообщения
Эксперты израильской компании Check Point Software Technologies Ltd нашли новую уязвимость WhatsApp, позволяющую менять содержимое чужих сообщений.
Есть три способа обмана собеседников. Первый предполагает использование функции Цитата в групповых чатах, чтобы изменить имя отправителя. Второй позволяет злоумышленнику изменить текст ответа. Третий маскирует отправку сообщения в общем чате под видом личного.
Пруф:
Все методы используют «инъекцию» стороннего кода в процессе шифрования сообщений.
Мы использовали веб-версию WhatsApp, которая позволяет пользователям связывать свои смартфоны QR-кодом.
Получив пару закрытых и открытых ключей, созданных до создания QR-кода, и «секретный» параметр, который отправляется мобильным устройство в WhatsApp Web, пока пользователь сканирует QR-код, расширение позволяет легко отслеживать и дешифровать сообщения.
Как только захватывается веб-трафик, содержащий сведения об участнике, фактический разговор и уникальный идентификатор, это позволяет нам подделывать ответы на сообщения, изменять их содержимое и даже манипулировать чатом.
В компании утверждают, что сообщили WhatsApp об уязвимости ещё в прошлом году. Но мессенджер исправил брешь только частично. Первые два способа всё ещё работают. [9to5]