Gadgetshowto
Verdens mest populære meldingsapp kan hevde å være en ekstremt sikker festning, men kanskje det kan trenge å revurdere etter at en kritisk sikkerhetsfeil i WhatsApp ble avslørt.
Sikkerhetsforskere fra Ruhr University Bochum, Tyskland, har avdekket en rekke sikkerhetsproblemer i krypterte meldingsapper som WhatsApp, Signal og Threema. Teamet avslørte sine funn på Real World Crypto-sikkerhetskonferansen onsdag i Zürich denne uken. Mens alle de tre nevnte appene er berørt av en eller annen sårbarhet, ser den som berører WhatsApp ut til å være den mest alvorlige.
Ifølge forskerne lar en iboende designfeil i den Facebook-eide chat-appen alle som har kontroll over WhatsApp-serverne sette inn nye mennesker i private gruppechatter uten å trenge administratortillatelse, til tross for løfter om end-to-end-kryptering..
Mens hvert medlem av gruppen fremdeles vil motta varsler om at et nytt medlem blir med i gruppen, sier Ruhr University-teamet at en intelligent hacker som har kontroll over WhatsApp-servere, kan bruke noen få forskjellige løsninger for å unngå eller i det minste forsinke gjenkjenning.
WhatsApps svar
Mens WhatsApp innrømmet forskernes funn, insisterte en talsperson i selskapet i en telefonsamtale med Wired fremdeles på at varsler vil gå ut til hvert eksisterende medlem om enhver ny aktør i en gruppe. "Vi bygde WhatsApp slik at gruppemeldinger ikke kan sendes til en skjult bruker," siterte en talsperson på e-post om rapporten om sikkerhetsfeil i WhatsApp..
I mellomtiden avviste Facebooks Chief Security Officer Alex Stamos funnene med en offentlig tweet.
https://twitter.com/alexstamos/status/951169174688026625
Forklare WhatsApp sikkerhetsfeil
Problemene oppstår på grunn av i hvilken grad en potensiell angriper kan utnytte denne sikkerhetsfeilen i WhatsApp. De kan blokkere meldinger fra administratorer eller andre medlemmer som kan prøve å varsle alle om de nye deltakerne, ved å cache meldinger og deretter selektivt la noen komme gjennom. En kompromittert WhatsApp-server vil også tillate hackeren å bestemme hvilken melding som blir sendt til hvem, uavhengig av de tiltenkte mottakerne.
Prosessen blir litt tøffere i grupper med flere administratorer, der, for å få seg til å virke som legitime deltakere i en gruppe, må mannen i midten sende forskjellige meldinger til hver administrator, slik at det virker som om en annen hadde invitert dem til gruppen. Det som er like alarmerende er påstanden om at hackeren kan forhindre utvisning fra gruppen selv etter å ha blitt oppdaget som en ubuden gjest.
