페트르 스쿠타 진행 중인 Black Hat 보안 컨퍼런스에서 많은 취약점이 공개되었습니다. 그 중에는 공격자가 메시지 내용을 변경할 수 있도록 허용하는 WhatsApp 애플리케이션의 버그도 있습니다.
WhatsApp의 허점은 세 가지 방법으로 악용될 수 있습니다. 가장 흥미로운 점은 보내는 메시지의 내용을 변경할 때입니다. 결과적으로 실제로 작성하지 않은 텍스트가 표시됩니다.
그것은 수 관심을 가져라
두 가지 옵션이 있습니다:
- 공격자는 그룹 채팅의 "답장" 기능을 사용하여 메시지 보낸 사람의 신원을 혼동시킬 수 있습니다. 해당 인물이 그룹 채팅에 전혀 참여하지 않은 경우에도 마찬가지입니다.
- 게다가 그는 인용된 텍스트를 어떤 내용으로든 바꿀 수 있습니다. 따라서 원본 메시지를 완전히 덮어쓸 수 있습니다.
첫 번째 경우에는 인용된 텍스트를 변경하여 자신이 쓴 것처럼 보이게 만드는 것이 쉽습니다. 두 번째 경우에는 보낸 사람의 신원을 변경하지 않고 인용된 메시지가 포함된 필드를 편집하기만 하면 됩니다. 텍스트를 완전히 다시 작성할 수 있으며 모든 채팅 참가자가 새 메시지를 볼 수 있습니다.
다음 비디오는 모든 것을 그래픽으로 보여줍니다.
Check Point 전문가들은 공개 메시지와 비공개 메시지를 혼합하는 방법도 찾았습니다. 그러나 Facebook은 WhatsApp 업데이트에서 이 문제를 해결했습니다. 반대로 위에서 설명한 공격은 A에 의해 수정되지 않았습니다. 아마 고칠 수도 없을 거야. 동시에 이 취약점은 수년간 알려져 왔습니다.
암호화로 인해 오류를 수정하기가 어렵습니다.
전체 문제는 암호화에 있습니다. WhatsApp은 두 사용자 간의 암호화를 사용합니다. 그런 다음 취약점은 그룹 채팅을 사용하는데, 여기서 이미 해독된 메시지를 눈앞에서 볼 수 있습니다. 하지만 페이스북은 당신을 볼 수 없기 때문에 기본적으로 개입할 수 없습니다.
전문가들은 웹 버전의 WhatsApp을 사용하여 공격을 시뮬레이션했습니다. 이를 통해 스마트폰에 로드한 QR 코드를 사용하여 컴퓨터(웹 브라우저)를 페어링할 수 있습니다.
개인 키와 공개 키가 연결되면 "비밀" 매개변수가 포함된 QR 코드가 생성되어 모바일 앱에서 WhatsApp 웹 클라이언트로 전송됩니다. 사용자가 QR 코드를 스캔하는 동안 공격자는 그 순간을 이용하여 통신을 가로챌 수 있습니다.
예를 들어, 공격자는 개인, 그룹 채팅, 고유 ID를 포함한 세부 정보를 확보한 후 보낸 메시지의 신원을 변경하거나 내용을 완전히 변경할 수 있습니다. 따라서 다른 채팅 참가자는 쉽게 속일 수 있습니다.
두 당사자 간의 일반적인 대화에는 위험이 거의 없습니다. 그러나 대화가 커질수록 뉴스를 탐색하는 것이 더 어려워지고 가짜 뉴스가 진짜처럼 보이기가 더 쉬워집니다. 그러니 조심하는 것이 좋습니다.
그것은 수 관심을 가져라
데이비드 하낙 드로이 : 9to5Mac
