Исследователи из компании Check Point Security на конференции по информационной безопасности Black Hat 2019 рассказали об обнаруженных ими уязвимостях в мессенджере WhatsApp.
По их словам, ошибки в коде позволяют злоумышленникам перехватывать и видоизменять сообщения, которые были отправлены как в личных, так и в групповых чатах. Это делает возможным распространение дезинформации якобы от надежного источника данных.
Для демонстрации уязвимости эксперты из Check Point Security использовавли веб-версию WhatsApp и расширение Burp Suit. В результате с применением опции цитирования им удалось видоизменить текст сообщения.
Также уязвимости позволяют подделывать данные о самом отправителе - в этом случае распространять фейковые данные можно от имени другого человека. Наконец, еще один способ - отправка личных сообщений под видом групповых. При ответе исходный текст становится общедоступным. Эта лазейка была исправлена разработчиками WhatsApp.
Две другие уязвимости в WhatsApp таковыми не считают. Представители Facebook, которой принадлежит мессенджер, заявили The Next Web, что подмена текста - это "мобильный эквивалент изменения ответов в переписке в электронной почте, чтобы выдать их за то, чего человек не писал.
Как пояснили " РГ" в Роскачестве, обсуждаемая экспертным сообществом уязвимость может быть использована только при направленной злонамеренной деятельности. Злоумышленнику нужно не только находиться в одной сети с "жертвой", но еще и направлять трафик через себя, а для этого трафик надо сначала перехватить. Более того, злоумышленнику нужно узнать четкий временной интервал, когда будут передаваться важные данные. И основная сложность этого эксплойта (программы для проникновения в чужую систему) состоит в том, что хакер должен внедриться в сеть пользователя еще на этапе сканирования QR-кода для подключения к desktop-версии мессенджера.
"Этот процесс слишком сложен, хакер не станет это делать просто так - только если он целенаправленно хочет заполучить вашу важную информацию. Основной совет, который мы можем дать потребителям в этом случае - не передавать платежную, личную и иную информацию, которая несет значимость для самого пользователя или третьих лиц. Также лучше не доверять новостям, полученным по средствам распространения в WhatsApp. Пользователю необходимо помнить, что выдержки из переписки в WhatsApp не являются и не принимаются как доказательство в суде", - отметил специалист Центра цифровой экспертизы Роскачества.
Подготовила Марина Гусенко