WhatsApp Açığı Grup Konuşmalarına Erişim Sağlıyor!

whatsapp-gurp-konusma-acigi
whatsapp-gurp-konusma-acigi
 2018 yılının daha dramatik bir ifşa - bir yabancı, gizli WhatsApp ve Sinyal mesajlaşma uygulamaları özel uçtan uca şifreli grup sohbetleri gizleyebilir.
Kötü niyetli kullanıcılar, ağ saldırganları ve kötü niyetli sunucu olmak üzere üç tür saldırgana karşı koruma düşünülürse, uçtan uca bir şifreleme protokolü, anında mesajlaşma servislerini güvence altına almanın hayati bir rol oynar.
Uçtan uca şifrelemenin başlıca amacı ara sunuculara güvenmeyi bırakmaktır; bu şekilde hiç kimse, verileri aktaran şirket veya sunucunun bile iletilerini şifresini çözebilir veya merkezileştirilmiş konumunu kötüye kullanabilir;.
En kötü durum senaryosunu varsayarsak- bozuk bir şirket çalışanı uçtan uca şifreli iletişimi herhangi bir yöntemle dinleyememelidir.
Ancak şu ana kadar, WhatsApp, Threema ve Signal gibi popüler uçtan uca şifreli mesajlaşma servisleri bile sıfır bilgi sistemine ulaşamamıştır.
Almanya'daki Bochum'daki (RUB) Ruhr Üniversitesi'nden araştırmacılar, WhatsApp / Sinyal sunucularını denetleyen herkesin herhangi bir özel gruba gizlice yeni üyeler ekleyebileceğini ve bunun yöneticinin izni olmaksızın grup görüşmelerinde casusluk yapmalarına izin verdiğini keşfetti.
Araştırmacılar tarafından anlatıldığı gibi çiftli iletişimde (yalnızca iki kullanıcı birbirleriyle iletişim halinde) sunucu sınırlı bir rol oynamaktadır, ancak çok kullanıcılı sohbetler (şifrelenmiş mesajların birçok kullanıcıya yayınlandığı grup sohbeti) durumunda,sunucular tüm süreci yönetmek için artar.
Meselenin bulunduğu yer, yani şirketin sunucularına grup üyelerini (sonunda grup sohbetine tam erişime sahip olanlar) ve işlemlerini yönetmek için güveniyor.
Signal ve WhatsApp'ın kimlerin yeni bir kimlik ekleyenin kimlik doğrulamasında başarısız olması nedeniyle, "Daha Fazla Less: Signal, WhatsApp ve Threema'daki Grup Sohbetlerinin Uçtan-uca Güvenliği Hakkında" başlıklı yeni yayınlanmış RUB bildirisinde açıklandığı gibi bir grubun üyesi değil, yetkili olmayan bir kişinin grup sohbetine birisini eklemesi mümkündür.
Daha ne? Gruba yeni bir üye eklenmesinin diğer üyelere görsel bir bildirim göstereceğini merak ediyorsanız, durum böyle değildir.
Araştırmacılara göre, sunucuya erişimi olan tehlikeye atılmış bir yönetici veya sahtekar çalışanın, yeni bir üyenin grup üyelerine uyarılacağı düşünülen grup yönetimi iletilerini işleyebileceği (veya engelleyebileceği).
"Açıklanan zayıflıklar, WhatsApp sunucusunu kontrol eden veya nakliye katmanı güvenliğini bozabilen saldırgan A'nın bir grup üzerinde tam kontrol sahibi olmasını sağlar.Ancak gruba girmek iz bırakır, çünkü bu işlem grafik kullanıcı arayüzünde listelenir. WhatsApp sunucu, bu nedenle gizlice grupta mesajları yeniden sıralayabilir ve bırakabilir ".
"Böylece gruplara gönderilen mesajları önbelleğe alıp içeriğini okumakta ve hangi sırayla üyelere teslim edileceğine karar verebiliyor.Ayrıca WhatsApp sunucusu bu mesajları üyelere tek tek iletebilir ve bu yüzden ustaca seçilen mesaj kombinasyonu yardımcı olabilir. izleri örter. "
WhatsApp sorunu onayladı, ancak bir gruba yeni üye girildiğinde, diğer grup üyeleri için herkes tarafından bildirileceklerini söyleyelim diye savundu.
WhatsApp sözcüsü Wired'e "Bu soruna dikkatle baktık, WhatsApp grubuna yeni insanlar eklendiğinde mevcut üyelere haber verildi. WhatsApp'u inşa ettik, böylece grup mesajları gizli bir kullanıcıya gönderilemedi."
"Kullanıcılarımızın gizliliği ve güvenliği WhatsApp için inanılmaz derecede önemlidir, bu yüzden çok az bilgi toplayacağız ve WhatsApp'da gönderilen tüm iletiler uçtan uca şifrelendi."
Ancak, çok seçilmiş üyeleri olan bir grubun üyesi değilseniz, çoğunuzun bu tür bildirimleri göreli olarak görmezden geleceğinden eminim.
Araştırmacılar, şirketlere yalnızca, "imzalı" grup yönetim mesajlarının yalnızca grup yöneticisi tarafından gelmesini sağlamak için bir kimlik doğrulama mekanizması ekleyerek konunun düzeltilmesini tavsiye etti.
Bununla birlikte, bu saldırı yürütmek kolay değildir (yasal baskı altında olan istisna-hizmetler), bu nedenle kullanıcılar endişe etmemelidir.


  thehackernews’dan alıntıdır.

Hiç yorum yok: