即使在印度的Whatsapp上的谣言挂在印度的数十个死亡中,Facebook拥有的消息传递应用程序尚未解决一年前的安全漏洞,以色列安全软件公司。
根据安全研究人员,这种脆弱性可以通过三种方式利用,所有这些都将社会工程策略涉及愚弄最终用户。
首先,一个糟糕的演员可以在组对话中使用“引用”功能来改变发件人的身份,即使该人不是该组的成员。
其次,他/她可以改变别人的回复的文本,基本上把话放在嘴里。
第三,可以将私人留言发送给伪装为公共消息的集团参与者以及当目标唯一响应对话中的每个人都可以看到。
检查点在2018年通知WhatsApp关于漏洞,这将使威胁演员拦截和操作在私人和组对话中发送的消息,为攻击者能够从似乎可信源创建和传播错误信息。
值得注意的是,WhatsApp修复了第三个漏洞,它使威胁演员能够向群体参与者发送私人消息,伪装为所有公共消息。
但是,在拉斯维加斯的一年一度的黑色帽子安全会议上,罗马Zaikin和Oded Vanunu表示,仍然可以从似乎是值得信赖的消息来源进行报价的消息和传播错误信息。
在对IANS的一份声明中,Facebook发言人表示,它审查了一年前的问题,发现它是“虚假的建议,我们提供的安全性有漏洞”。
“这里描述的场景仅仅是移动相当于改变电子邮件中的回复,使其看起来像一个人没有写的东西。发言人说,我们需要注意解决这些研究人员提出的担忧,这些研究人员可以使WhatsApp更少私人 - 例如存储有关消息起源的信息,“发言人说。
为了展示漏洞的严重性,检查点甚至创建了一种工具,允许它解密WhatsApp通信并欺骗邮件。
“WhatsApp是世界上最受欢迎的即时信使。当卡巴斯基的安全研究员告诉IANS告诉IANS告诉IANS告诉IANS告诉IANS告诉IANS,这些安全漏洞确实严重。
“这并不意味着用户应该停止使用WhatsApp。虽然安全性错误是危险的,但在任何类型的软件中它们都不少见。然而,在贡献组聊天时,用户应该小心。
“如果在通信期间有任何疑问,请在私聊中确认作者的身份。Chebyshev说,我们建议在WhatsApp更新释放和下载新版本时,继续关注WhatsApp更新。“
