Z badań przeprowadzonych przez naukowców z Uniwersytetu Ruhr w Bochum wynika, że hakerzy mogą dodawać osoby do czatów grupowych na WhatsApp
Przez lata WhatsApp mocno inwestował w bezpieczeństwo danych użytkowników. Wprowadzono dwuskładnikowe uwierzytelnianie oraz szyfrowanie rozmów end-to-end dzięki Open Whisper Systems. Zwłaszcza ta ostatnia decyzja poprawiła prywatność i ochroniła rozmowy użytkowników przed wtargnięciem hakerów.
Przejście do wprowadzenia szyfrowania end-to-end w ramach aplikacji zostało przyjęte z zadowoleniem zarówno przez użytkowników, jak i ekspertów branżowych, którzy długo czekali na taką decyzję ze strony WhatsApp. Zastosowanie szyfrowania end-to-end powinno sugerować, że dane użytkowników są bezpieczne i nikt nie może ingerować w ich rozmowy. Ale w rzeczywistości tak nie jest. Takie wnioski płyną z badań przeprowadzonych przez Uniwersytet Ruhr w Bochum (Niemcy), który odkrył obecność w serwerach WhatsApp usterki, która zagrażałaby bezpieczeństwu danych użytkowników. Dziura dotyczyłaby tylko czatów grupowych, a nie indywidualnych.
Co znaleźli badacze
Badanie zostało zaprezentowane na konferencji bezpieczeństwa Real World Crypto i od razu zrobiło się o nim głośno. Badania ujawniły błędy w trzech komunikatorach internetowych: WhatsApp, Signal i Threema. Podczas gdy problemy znalezione w dwóch ostatnich aplikacjach są łatwe do naprawienia, błąd WhatsApp potencjalnie zagraża wszystkim rozmowom grupowym. Według badaczy, dziura pozwalałaby każdemu, kto ma dostęp do serwerów WhatsApp, dodawać ludzi do rozmów grupowych, bez pytania administratorów o zgodę. Z powodu tego błędu, hakerzy mogli dostać się do czatów bez niczyjej wiedzy i zacząć zbierać dane o użytkownikach. Niebezpieczeństwo, podkreślają badacze, polega na tym, że hakerzy mogliby dostać się na serwery WhatsApp i zacząć dodawać ludzi do grup. Rządy mogą również wywierać presję na aplikację do przesyłania wiadomości, aby kontrolować rozmowy grupowe podczas popularnych powstań.
Co mogą zrobić hakerzy
Zalogowanie się na serwery WhatsApp pozwoliłoby hakerom na absolutną kontrolę nad rozmowami grupowymi. Gdy ktoś zostanie dodany do czatu, w czacie zostanie wyświetlona wiadomość ostrzegająca innych użytkowników. Jeśli użytkownik został dodany przez hakera za pomocą manipulacji na poziomie serwera, administrator grupy mógłby ostrzec innych użytkowników, że nikogo nie dodał. Jeśli jednak grupa jest bardzo aktywna, w 99% przypadków wiadomość o dodaniu nowego użytkownika może zostać przeoczona. Kontrolując bezpośrednio serwery, hakerzy mają też inne uprawnienia. Na przykład, mogą zdecydować, które wiadomości pokazać w ramach czatu, a także wysyłać różne wiadomości do administratorów grupy. W ten sposób włamanie przechodzi niemal niewykryte, a atakujący mogą po cichu zbierać dane ludzi.
WhatsApp w pogotowiu
Badacze z Uniwersytetu Ruhry powiedzieli, że ostrzegali WhatsApp w lipcu ubiegłego roku, ale pracownicy komunikatora nie uznali błędu za na tyle ważny, by zasłużyć na nagrodę pieniężną, jaką Facebook oferuje każdemu, kto odkryje wadę w jednej ze swoich platform. Niektórzy pracownicy WhatsApp potwierdzili problem dla Wired, ale podkreślili fakt, że kiedy nowy członek jest dodawany do czatu, wszyscy użytkownicy są powiadamiani poprzez wiadomość. A to zabezpieczyłoby dane użytkowników.
Jak naprawić problem
Według uczonych, problem można rozwiązać w prosty sposób, wystarczy, że WhatsApp dokona prostej zmiany. Dodaj rodzaj dwuskładnikowego uwierzytelniania, aby dodać użytkownika do nowej grupy: klucz posiadany tylko przez administratora grupy. Zobaczymy, czy WhatsApp zdecyduje się pójść za radą badaczy.