کشف نقص امنیتی در واتساپ که میتواند برای انتشار اخبار جعلی مورد استفاده قرار گیرد!
همانطور که میدانید واتساپ، یکی از محبوبترین نرمافزارهای پیامرسانی در جهان است.
به گفته محققان این برنامه دارای آسیبپذیریهای امنیتی مختلفی است که به کاربران بدخواه اجازه میدهد تا محتوای پیامهای ارسال شده در مکالمات خصوصی و همچنین گروه را تغییر دهند.
محققان در شرکت امنیتی Checkpoint دریافتند که این نقص از حفرههای موجود در پروتکلهای امنیتی واتساپ برای تغییر محتوای پیامها بهره میبرد، و کاربران بدخواه را قادر میسازد اطلاعات غلط و یا اخبار جعلی را از "منابعی که به نظر میرسد مورد اعتماد است" منتشر کنند.
این نقص امنیتی در پروتکل "protobuf2 " وجود دارد. پروتکل protobuf2 برای رمزگشایی پیامهای رمزگذاری شدهی واتساپ نصب شده در تلفن همراه که به واتساپ وب متصل است به کار میرود.
این آسیبپذیریها میتوانند هکرها را قادر به سوءاستفاده از ویژگی «نقل قول» در یک مکالمه گروهی واتساپ کنند تا هویت فرستنده را تغییر داده یا محتوای پاسخ فرد دیگری را به یک چت گروهی تغییر دهند یا حتی پیام خصوصی را به عنوان یک پیام گروهی به یکی از اعضای گروه ارسال کنند.
به عنوان مثال، محققان موفق شدند یک چت واتساپ با محتوای "Great!" را که توسط یکی از اعضای گروه فرستاده شده بود، به "I'm going to die, in a hospital right now!" تغییر دهند.
لازم به ذکر است که آسیبپذیریهای گزارش شده اجازه نمیدهند شخص ثالث پیامهای رمزگذاری شده واتساپ را به طور کامل از بین ببرد و یا تغییر دهد، اما این نقصها میتوانند توسط کاربران بدخواهی که قبلاً در بخشی از مکالمات گروهی بودهاند مورد سوء استفاده قرار گیرند.
محتوای چتها چگونه تغییر میکنند؟
در این ویدئو نحوه تغییر محتوای چتها آورده شده است.
به منظور اکسپلویت نمودن این آسیبپذیری، محققان تیم امنیتی Checkpoint_ به نامهای Dikla Barda, Roman Zaikin و Oded Vanunu_ با ایجاد یک افزونه سفارشی جدید برای نرمافزار امنیتی Burp Suite توانستند به راحتی پیامهای ارسالی و دریافتی رمزگذاری شده را در واتساپ نسخه وب تغییر دهند.
این ابزار که "WhatsApp Protocol Decryption Burp Tool" نام دارد، به صورت رایگان در Github در دسترس است، برای اولین بار مهاجم باید کلید خصوصی و عمومی خود را وارد نماید _این کلید را میتواند به راحتی از مرحله تولید کلید از واتساپ نسخه وب قبل از آن که کد QR تولید شود بدست آورد _همانطور که در این پست وبلاگ توسط سه محقق نامبرده توضیح داده شده است.
WathsApp/Facebook پاسخگوی گزارش نقصهای وصله نشده باشید!
این سه محقق نقص کشف شده را به تیم امنیتی واتساپ گزارش دادند، اما شرکت اظهار داشت از آنجایی که این پیامها عملکرد اساسی رمزنگاری end-to-end را نقض نمیکند، کاربران "همیشه میتوانند گزینهای برای مسدود کردن فرستندهای که تلاش میکند پیامهای جعلی را گسترش دهد داشته باشند، آنها میتوانند محتوای مشکوک را به ما گزارش کنند. "
استدلال دیگری که واتساپ با محققان به اشتراک گذاشت، این بود که: "شرکت نمیتواند تغییر محتوای پیام را متوقف کند زیرا ما پیامها را در سرورها ذخیره نمیکنیم و یک منبع واحد برای تأیید صحت پیامها نداریم."
از آنجا که واتساپ در حال حاضر به یکی از بزرگترین ابزارهای انتشار خبر جعلی و اطلاعات غلط تبدیل شده است، ما معتقدیم که حداقل در کشورهای دارای مسائل سیاسی بسیار ناپایدار، واتساپ باید بتواند این مشکلات را با اعمال محدودیت در پیامهای ارسال شده حل کند.
منبع خبر: https://thehackernews.com/2018/08/whatsapp-modify-chat-fake-news.html
