पेट्र स्कुटा चल रहे ब्लैक हैट सुरक्षा सम्मेलन में कई कमजोरियाँ सामने आईं। उनमें से व्हाट्सएप एप्लिकेशन में बग हैं जो हमलावरों को संदेशों की सामग्री को बदलने की अनुमति देते हैं।
व्हाट्सएप में खामियों का तीन संभावित तरीकों से फायदा उठाया जा सकता है। सबसे दिलचस्प तब होता है जब आप जो संदेश भेज रहे हैं उसकी सामग्री बदलते हैं। परिणामस्वरूप, वह पाठ प्रदर्शित होगा जो आपने वास्तव में नहीं लिखा था।
यह हो सकता था रुचि आपको
दो विकल्प हैं:
- एक हमलावर संदेश भेजने वाले की पहचान को भ्रमित करने के लिए समूह चैट में "उत्तर" सुविधा का उपयोग कर सकता है। भले ही संबंधित व्यक्ति समूह चैट में बिल्कुल भी न हो।
- इसके अलावा, वह उद्धृत पाठ को किसी भी सामग्री से बदल सकता है। इस प्रकार यह मूल संदेश को पूरी तरह से अधिलेखित कर सकता है।
पहले मामले में, उद्धृत पाठ को बदलना आसान है ताकि यह वैसा ही दिखे जैसा आपने लिखा था। दूसरे मामले में, आप प्रेषक की पहचान नहीं बदलते हैं, बल्कि उद्धृत संदेश के साथ फ़ील्ड को संपादित करते हैं। टेक्स्ट को पूरी तरह से दोबारा लिखा जा सकता है और नया संदेश सभी चैट प्रतिभागियों द्वारा देखा जाएगा।
निम्नलिखित वीडियो ग्राफ़िक रूप से सब कुछ दिखाता है:
चेक प्वाइंट विशेषज्ञों ने सार्वजनिक और निजी संदेशों को मिलाने का एक तरीका भी खोजा। हालाँकि, फेसबुक व्हाट्सएप अपडेट में इसे ठीक करने में कामयाब रहा। इसके विपरीत, ऊपर वर्णित हमलों को ठीक नहीं किया गया शायद इसे ठीक भी नहीं कर सकते. साथ ही, भेद्यता वर्षों से ज्ञात है।
एन्क्रिप्शन के कारण त्रुटि को ठीक करना कठिन है
सारी समस्या एन्क्रिप्शन में है. व्हाट्सएप दो उपयोगकर्ताओं के बीच एन्क्रिप्शन पर निर्भर करता है। इसके बाद भेद्यता एक समूह चैट का उपयोग करती है, जहां आप पहले से ही डिक्रिप्ट किए गए संदेशों को अपने सामने देख सकते हैं। लेकिन फेसबुक आपको देख नहीं सकता, इसलिए मूलतः वह हस्तक्षेप नहीं कर सकता।
विशेषज्ञों ने हमले का अनुकरण करने के लिए व्हाट्सएप के वेब संस्करण का उपयोग किया। यह आपको अपने स्मार्टफ़ोन में लोड किए गए QR कोड का उपयोग करके कंप्यूटर (वेब ब्राउज़र) को जोड़ने की अनुमति देता है।
एक बार जब निजी और सार्वजनिक कुंजी लिंक हो जाती है, तो "गुप्त" पैरामीटर सहित एक क्यूआर कोड उत्पन्न होता है और मोबाइल ऐप से व्हाट्सएप वेब क्लाइंट को भेजा जाता है। जब उपयोगकर्ता क्यूआर कोड को स्कैन कर रहा होता है, तो एक हमलावर उस क्षण का फायदा उठा सकता है और संचार को बाधित कर सकता है।
एक हमलावर के पास किसी व्यक्ति, समूह चैट, एक अद्वितीय आईडी सहित विवरण होने के बाद, वह, उदाहरण के लिए, भेजे गए संदेशों की पहचान बदल सकता है या उनकी सामग्री को पूरी तरह से बदल सकता है। इस प्रकार अन्य चैट प्रतिभागियों को आसानी से धोखा दिया जा सकता है।
दो पक्षों के बीच सामान्य बातचीत में बहुत कम जोखिम होता है। लेकिन बातचीत जितनी बड़ी होगी, समाचार को समझना उतना ही कठिन होगा और नकली समाचार को वास्तविक चीज़ की तरह दिखाना उतना ही आसान होगा। इसलिए सावधान रहना अच्छा है.
यह हो सकता था रुचि आपको
डेविड हनक स्रोत: 9to5Mac
