Исследователи из компании Check Point Security на конференции по информационной безопасности Black Hat 2019 рассказали об обнаруженных ими уязвимостях в мессенджере WhatsApp. По их словам, ошибки в коде позволяют злоумышленникам перехватывать и видоизменять сообщения, которые были отправлены как в личных, так и в групповых чатах. Это делает возможным распространение дезинформации якобы от надежного источника данных.
Для демонстрации уязвимости эксперты из Check Point Security использовали веб-версию WhatsApp и расширение Burp Suit. В результате с применением опции цитирования им удалось видоизменить текст сообщения.
Также уязвимости позволяют подделывать данные о самом отправителе — в этом случае распространять фейковые данные можно от имени другого человека. Наконец, еще один способ — отправка личных сообщений под видом групповых. При ответе исходный текст становится общедоступным. Эта лазейка была исправлена разработчиками WhatsApp.
Две другие уязвимости в WhatsApp таковыми не считают. Представители Facebook, которой принадлежит мессенджер, заявили The Next Web, что подмена текста — это «мобильный эквивалент изменения ответов в переписке в электронной почте, чтобы выдать их за то, чего человек не писал.
Между тем
Как пояснили » РГ» в Роскачестве, обсуждаемая экспертным сообществом уязвимость может быть использована только при направленной злонамеренной деятельности. Злоумышленнику нужно не только находиться в одной сети с «жертвой», но еще и направлять трафик через себя, а для этого трафик надо сначала перехватить. Более того, злоумышленнику нужно узнать четкий временной интервал, когда будут передаваться важные данные. И основная сложность этого эксплойта (программы для проникновения в чужую систему) состоит в том, что хакер должен внедриться в сеть пользователя еще на этапе сканирования QR-кода для подключения к desktop-версии мессенджера.
«Этот процесс слишком сложен, хакер не станет это делать просто так — только если он целенаправленно хочет заполучить вашу важную информацию. Основной совет, который мы можем дать потребителям в этом случае — не передавать платежную, личную и иную информацию, которая несет значимость для самого пользователя или третьих лиц. Также лучше не доверять новостям, полученным по средствам распространения в WhatsApp. Пользователю необходимо помнить, что выдержки из переписки в WhatsApp не являются и не принимаются как доказательство в суде», — отметил специалист Центра цифровой экспертизы Роскачества.
«Российская газета»
