Petr Škuta Black Hat-en segurtasun konferentzian ahultasun asko agertu ziren. Horien artean, erasotzaileei mezuen edukia aldatzeko aukera ematen dieten WhatsApp aplikazioko akatsak daude.
WhatsApp-en zuloak hiru modutan ustiatu daitezke. Interesgarriena bidaltzen ari zaren mezuaren edukia aldatzen duzunean da. Ondorioz, benetan idatzi ez duzun testua bistaratuko da.
Izan liteke interesatzen zaizu
Bi aukera daude:
- Erasotzaile batek "erantzun" funtzioa erabil dezake talde-txat batean mezu-igorlearen identitatea nahasteko. Nahiz eta kasuan kasuko pertsona ez egon taldeko txatean batere.
- Gainera, aipatutako testua edozein edukirekin ordezka dezake. Horrela, jatorrizko mezua guztiz gainidatzi dezake.
Lehenengo kasuan, erraza da aipaturiko testua aldatzea zuk idatzi duzun itxura izan dezan. Bigarren kasuan, ez duzu igorlearen identitatea aldatzen, aipaturiko mezua duen eremua editatu besterik ez duzu. Testua guztiz berridatzi daiteke eta mezu berria txat parte-hartzaile guztiek ikusiko dute.
Ondorengo bideoak dena grafikoki erakusten du:
Check Pointeko adituek mezu publikoak eta pribatuak nahasteko modua ere aurkitu zuten. Hala ere, Facebook-ek hau konpontzea lortu zuen WhatsApp eguneratzean. Aitzitik, goian azaldutako erasoak ez zituen zuzendu a ziurrenik ezin konpondu ere egin. Aldi berean, ahultasuna urteak daramatza ezagutzen.
Errorea zaila da konpontzen enkriptatzea dela eta
Arazo guztia enkriptatzean datza. WhatsApp bi erabiltzaileen arteko enkriptazioan oinarritzen da. Zaurgarritasunak talde txat bat erabiltzen du, non dagoeneko zure aurrean deszifratutako mezuak ikus ditzakezun. Baina Facebookek ezin zaitu ikusi, beraz, funtsean, ezin du esku hartu.
Adituek WhatsApp-en web bertsioa erabili zuten erasoa simulatzeko. Honi esker, ordenagailu bat (web-arakatzailea) parekatu dezakezu zure telefonoan kargatzen duzun QR kodea erabiliz.
Gako pribatua eta publikoa lotzen direnean, parametro "sekretua" barne duen QR kode bat sortzen da eta mugikorreko aplikaziotik WhatsApp web bezerora bidaltzen da. Erabiltzaileak QR kodea eskaneatzen ari den bitartean, erasotzaileak momentua aprobetxa dezake eta komunikazioa atzeman dezake.
Erasotzaile batek pertsona bati buruzko xehetasunak, taldeko txat bati buruz, ID bakarra barne, adibidez, bidalitako mezuen identitatea alda dezake edo haien edukia guztiz alda dezake. Horrela, beste txat parte-hartzaile batzuk erraz engainatu daitezke.
Oso arrisku txikia dago bi alderdien arteko elkarrizketa arruntetan. Baina elkarrizketa zenbat eta handiagoa izan, orduan eta zailagoa da albisteetan nabigatzea eta orduan eta errazagoa da albiste faltsu batek benetako itxura izatea. Beraz, ona da kontuz ibiltzea.
Izan liteke interesatzen zaizu
David Hanak iturria: 9to5Mac
