Verdens mest populære messaging-app hævder muligvis at være en ultra-sikker fæstning, men måske skal den muligvis genoverveje, efter at en kritisk WhatsApp-sikkerhedsfejl blev afsløret.
Sikkerhedsforskere fra Ruhr University Bochum, Tyskland, har fundet en række sikkerhedssårbarheder i krypterede messaging-apps som WhatsApp, Signal og Threema. Holdet afslørede deres fund på Real World Crypto sikkerhedskonference onsdag i Zürich i denne uge. Mens alle tre ovennævnte apps er påvirket af en eller anden sårbarhed, synes den, der påvirker WhatsApp, at være den mest alvorlige.
Ifølge forskerne lader en iboende designfejl i den Facebook-ejede chat-app alle, der har kontrol over WhatsApp-serverne, indsætte nye mennesker i private gruppechats uden behov for administratortilladelse på trods af løfter om end-til-end-kryptering..
Mens hvert medlem af gruppen stadig vil modtage underretninger om, at et nyt medlem tilmelder sig gruppen, siger Ruhr University-teamet, at en intelligent hacker, der har kontrol over WhatsApp-servere, kan bruge et par forskellige løsninger for at undgå eller i det mindste forsinke afsløring.
WhatsApps svar
Mens WhatsApp indrømmede forskernes resultater, insisterede en virksomheds talsmand i en telefonsamtale med Wired stadig på, at meddelelser vil gå ud til hvert eksisterende medlem om enhver nytilkomne til en gruppe. "Vi byggede WhatsApp, så gruppemeddelelser ikke kan sendes til en skjult bruger," citerede rapporten en talsmand på e-mail om WhatsApp-sikkerhedsfejl..
I mellemtiden afviste Facebooks Chief Security Officer Alex Stamos resultaterne med en offentlig tweet.
https://twitter.com/alexstamos/status/951169174688026625
Forklaring af WhatsApp-sikkerhedsfejl
Problemerne opstår på grund af, i hvilket omfang en potentiel angriber kan udnytte denne WhatsApp-sikkerhedsfejl. De kunne blokere beskeder fra administratorer eller andre medlemmer, der muligvis forsøger at advare alle om de nye deltagere, ved at cache beskeder og derefter selektivt slippe nogle igennem. En kompromitteret WhatsApp-server giver også hackeren mulighed for at beslutte, hvilken besked der sendes til hvem, uanset de tilsigtede modtagere.
Processen bliver lidt hårdere i grupper med flere administratorer, hvor man-i-midten skal sende forskellige meddelelser til hver administrator for at få dem til at virke som legitime deltagere i en gruppe, hvilket får det til at virke som en anden havde inviteret dem til gruppen. Hvad der er lige så alarmerende er påstanden om, at hackeren selv efter at være blevet set som en ubuden gæst, kan forhindre deres udvisning fra gruppen.