Все методы используют «инъекцию» стороннего кода в процессе шифрования сообщений.
Эксперты израильской компании Check Point Software Technologies Ltd нашли новую уязвимость WhatsApp, позволяющую менять содержимое чужих сообщений. Есть три способа обмана собеседников. Первый предполагает использование функции Цитата в групповых чатах, чтобы изменить имя отправителя.
Об этом пишет Хроника.инфо со ссылкой на portaltele.com.ua.
Второй позволяет злоумышленнику изменить текст ответа. Третий маскирует отправку сообщения в общем чате под видом личного.
Мы использовали веб-версию WhatsApp, которая позволяет пользователям связывать свои смартфоны QR-кодом.
Получив пару закрытых и открытых ключей, созданных до генерации QR-кода, и «секретный» параметр, который отправляется мобильным устройство в WhatsApp Web, пока пользователь сканирует QR-код, расширение позволяет легко отслеживать и дешифровать сообщения. Как только захватывается веб-трафик, содержащий сведения об участнике, фактический разговор и уникальный идентификатор, это позволяет нам подделывать ответы на сообщения, изменять их содержимое и даже манипулировать чатом.
В компании утверждают, что сообщили WhatsApp об уязвимости ещё в прошлом году. Но мессенджер исправил брешь только частично. Первые два способа всё ещё работают.