Petr skuta चलिरहेको ब्ल्याक ह्याट सुरक्षा सम्मेलनमा धेरै कमजोरीहरू प्रकट गरियो। तिनीहरूमध्ये ह्वाट्सएप अनुप्रयोगमा बगहरू छन् जसले आक्रमणकारीहरूलाई सन्देशहरूको सामग्री परिवर्तन गर्न अनुमति दिन्छ।
WhatsApp मा प्वालहरू तीन सम्भावित तरिकामा शोषण गर्न सकिन्छ। तपाईंले पठाउनु भएको सन्देशको सामग्री परिवर्तन गर्दा सबैभन्दा रोचक हुन्छ। नतिजाको रूपमा, तपाईंले वास्तवमा लेख्नुभएन पाठ प्रदर्शित हुनेछ।
यो हुन सक्छ तपाईंलाई चासो
त्यहाँ दुई विकल्पहरू छन्:
- एक आक्रमणकारीले सन्देश प्रेषकको पहिचानलाई भ्रमित गर्न समूह च्याटमा "रिप्लाइ" सुविधा प्रयोग गर्न सक्छ। यदि प्रश्नमा व्यक्ति समूह च्याटमा छैन भने पनि।
- यसबाहेक, उसले उद्धृत पाठलाई कुनै पनि सामग्रीसँग बदल्न सक्छ। यसले मूल सन्देशलाई पूर्ण रूपमा अधिलेखन गर्न सक्छ।
पहिलो अवस्थामा, उद्धृत पाठलाई तपाईले लेख्नु भएको जस्तो बनाउनको लागि यसलाई परिवर्तन गर्न सजिलो छ। दोस्रो अवस्थामा, तपाईंले प्रेषकको पहिचान परिवर्तन गर्नुहुन्न, तर केवल उद्धृत सन्देशको साथ क्षेत्र सम्पादन गर्नुहोस्। पाठ पूर्ण रूपमा पुन: लेख्न सकिन्छ र नयाँ सन्देश सबै च्याट सहभागीहरूले देख्नेछन्।
निम्न भिडियोले सबै कुरा ग्राफिक रूपमा देखाउँछ:
चेक पोइन्ट विशेषज्ञहरूले सार्वजनिक र निजी सन्देशहरू मिश्रण गर्ने तरिका पनि फेला पारे। यद्यपि, फेसबुकले व्हाट्सएप अपडेटमा यसलाई ठीक गर्न व्यवस्थित गर्यो। यसको विपरित, माथि वर्णन गरिएका आक्रमणहरू a द्वारा सुधारिएको थिएन सम्भवतः यसलाई ठीक गर्न पनि सक्दैन। एकै समयमा, जोखिम वर्षौं को लागी ज्ञात छ।
एन्क्रिप्शनको कारणले त्रुटि ठीक गर्न गाह्रो छ
सम्पूर्ण समस्या एन्क्रिप्शनमा छ। व्हाट्सएप दुई प्रयोगकर्ताहरू बीचको इन्क्रिप्सनमा निर्भर छ। जोखिमले त्यसपछि समूह च्याट प्रयोग गर्दछ, जहाँ तपाइँ पहिले नै तपाइँको अगाडि डिक्रिप्ट गरिएका सन्देशहरू देख्न सक्नुहुन्छ। तर फेसबुकले तपाईलाई देख्न सक्दैन, त्यसैले मूलतः यसले हस्तक्षेप गर्न सक्दैन।
विज्ञहरूले आक्रमणको नक्कल गर्न व्हाट्सएपको वेब संस्करण प्रयोग गरे। यसले तपाइँलाई तपाइँको स्मार्टफोनमा लोड गर्ने QR कोड प्रयोग गरेर कम्प्युटर (वेब ब्राउजर) जोडा बनाउन अनुमति दिन्छ।
एक पटक निजी र सार्वजनिक कुञ्जी लिङ्क भएपछि, "गोप्य" प्यारामिटर सहित QR कोड उत्पन्न हुन्छ र मोबाइल एपबाट व्हाट्सएप वेब क्लाइन्टमा पठाइन्छ। प्रयोगकर्ताले QR कोड स्क्यान गर्दा, एक आक्रमणकारीले क्षण कब्जा गर्न र संचार अवरोध गर्न सक्छ।
आक्रमणकारीसँग एक व्यक्ति, समूह च्याट, एक अद्वितीय ID सहितको विवरणहरू भएपछि, उसले, उदाहरणका लागि, पठाइएका सन्देशहरूको पहिचान परिवर्तन गर्न वा तिनीहरूको सामग्री पूर्ण रूपमा परिवर्तन गर्न सक्छ। अन्य च्याट सहभागीहरूलाई यसरी सजिलै धोका दिन सकिन्छ।
दुई पक्षहरू बीचको सामान्य कुराकानीमा धेरै कम जोखिम समावेश छ। तर वार्तालाप जति ठूलो हुन्छ, समाचारलाई नेभिगेट गर्न त्यति नै गाह्रो हुन्छ र नक्कली समाचारलाई वास्तविक कुरा जस्तो देखिन त्यति नै सजिलो हुन्छ। त्यसैले सावधान रहनु राम्रो हो।
यो हुन सक्छ तपाईंलाई चासो
डेभिड हानाक मुहान: 9to5Mac
