צפו: חוקרים ישראליים מדגימים איך אפשר לזייף הודעות שלכם בוואטסאפ
החוקרים טוענים כי דיווחו לפייסבוק כמקובל על הבעיות עוד בשנה שעברה, אך לא כולן טופלו
כבר התרגלנו לכך שבעידן הפייק ניוז והרשתות החברתיות, כמעט כל אחד יכול להפיץ מידע שקרי למטרות שונות. אבל מה אם נגיד לכם שכל אחד יכול להכניס מילים לפה שלכם בוואטסאפ? לא מדובר סתם בצילומי מסך, אלא הודעות שגם אתם לא תהיו בטוחים אם כתבתם או לא. חוקרים ישראליים מצ׳ק פוינט עלו על הבמה ב-Black Hat 2019, כנס אבטחת המידע המפורסם, וטענו כי גילו כבר בשנה שעברה 3 פירצות אבטחה בוואטסאפ, אך פייסבוק התייחסה רק לאחת מהן, והתעלמה מהשאר. אז מה הם עושים כדי ללחוץ על פייסבוק לתעדף את הבעיות אחרי שנה שלמה? מפרסמים את פרטי הפרצות שלא טופלו.
לשנות את כל התוכן הנכתב ברגעים
בצ׳ק פוינט מסבירים כי לקראת סוף שנת 2018 גילו 3 פירצות אבטחה: הראשונה משתמשת בפיצ׳ר הציטוט (Quote) ומאפשרת לשנות את זהות שולח ההודעה, השנייה מאפשרת לשנות לחלוטין את התוכן שנכתב בתגובה (Reply) של משתמש אחר, והשלישית מאפשרת לשלוח הודעה פרטית למשתמש אחר בקבוצה שנראית כמו הודעה קבוצתית, וברגע שהוא יגיב לה, היא תהיה חשופה לכל המשתתפים. נכון להיום, טוענים בצ׳ק פוינט, פייסבוק התייחסה אך ורק לפירצה השלישית ותיקנה אותה, בעוד השתיים האחרות עדיין זמינות לכל תוקף.
מאחר שוואטסאפ מצפינה את כל ההודעות שעוברות דרכה, החוקרים בצ׳ק פוינט החליטו לפנות ל-Whatsapp Web כדי לחלץ את המפתחות הפרטיים והפומביים של ההתכתבויות. לאחר הפענוח של ההתכתבות, לא רק שהחוקרים יכולים כעת לראות את התוכן של המידע העובר בין גירסת המובייל לבין גירסת הווב של וואטסאפ, אלא גם לשנות את התוכן שלהן, ובכך פשוט להכניס מילים לפה של המתכתבים. החוקרים בנו כלי שבתוך שניות יכול לתת להם את השליטה הנדרשת, וכך הוא נראה:
מנגד, בפייסבוק טוענים שלא מדובר בפירצה חמורה כל כך שמשפיעה על האבטחה של וואטסאפ, שכן היא דומה במהותה לשליחה של שרשור התכתבויות במייל, ועריכה של התכנים שלהם כדי להוציא תכנים מהקשרם או להכניס מילים לפה של אדם אחר. עוד מוסיפים בחברה כי טיפול בבעיות שהוצפו על ידי צ׳ק פוינט עשוי להפוך את וואטסאפ לפחות מאובטחת, ולדרוש מהחברה לאחסן מידע נוסף בשרתיה – מה שעשוי לפגוע בפרטיות המשתמשים.
הגב
13 תגובות על "צפו: חוקרים ישראליים מדגימים איך אפשר לזייף הודעות שלכם בוואטסאפ"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
ישן, וסתפ מנסים להוציא כותרת ממחקר שהם עשו אבל לא הניב תוצאות מרשימות
הם אומרים ובצדק שה"פרצה" הזאת לא מעניינת ולא שווה לתקן אותה. הדוגמה של האימייל נכונה. כל אחד יכול לעשות reply או forawrd ולשנות את תוכן ההודעה של המקורי. לא מעניין.
זה לגמרי פרצה מעניינת כיוון שמשתמש קצה לא יכול לעשות את זה בקלות ולכן לא חושב שזה אפשרי, וזה משנה את כל התמונה, במיילים אתה יודע שזה אפשרי ולכן אתה מתייחס לזה אחרת, לכן בוואטסאפ זה יותר חמור.
זו כמו תופעת "חי בונה"
מה זה תופעת "חי בונה"? לא הצלחתי למצוא מידע על זה בגוגל.
לזה אתם קוראים פרצה? על זה השקעתם כסף במחקר? לא חבל? ההודעה המקורית עדיין קיימת כך שה"עובד" יכול להשיב לכל נוסח ולרשום גם 50000$.. הוא עדיין יקבל תוספת של 500$
עוד כתבה ממומנת, תגידו כמה עולה לפרסם כתבה אצלכם?
בהחלט מעניין. אני תוהה אם מצאו עוד פרצות אבל לא מספרים לנו.
אותי מעניין איך זה שלא עושים רעש מכך שכל אדם בישראל יכול לזייף את מספר השולח בהודעת sms
חברות הסלולר (אלא שמוכרות לספאמרים את שירות הSMSים), יכולות בקלות לדעת מי שלח את הודעות הספאם האלה. אבל אין חוק שמחייב אותם לחשוף את הפרטים האלה (אולי חוץ ממקרים פליליים – אבל זה אולי 1% מהמקרים).
אז במקום לטפל בבעיה, ממציאים חוק שאסור לשלוח ספאם.
אבל לך תמצא את הספאמר…
אה וכמובן אלה שהמציאו את החוק לא נחשבים כספאמרים כי התוכן שלהם זה לא פרסומי. זה תוכן שכולם צריכים לקבל והוא מאוד מעניין אותנו…
איך?
sender ID הוא בסך הכל כותרת של הבקשה, כמו נושא במייל. גם אתה יכול לשנות אותה עם תוכנות מתאימות (אסטריסק נניח), אבל חברות הסלולר לא יעבירו את ההודעה שלך אם אתה לא רשום כ SMS Provider שיכול לשלוח הודעות על שם מספרים אחרים. אם תשלם להן תוכל להספים אחרים, בדיוק כפי שחברות ה IVR עושות. המסקנה הברורה היא שאין כאן שום פרצה, הכל בכוונה ולמטרות רווח
מה שהם עשו פה זה MitM ע"י חילוץ המפתח הפרטי של עצמם והתקנתו על שרת באמצע. ברור שאם יש לך את המפתח הפרטי של עצמך אז אתה יכול לפענח הודעות בשיחה שלך. העובדה שהם לקחו את המפתח של עצמם הופכת את זה לבעיה לא מעניינת כמו שפייסבוק בצדק טוענים. זה כמו להגיד שאתה יכול לפרוץ לבית של עצמך ולגנוב הכל כי יש לך את המפתח לדלת ואתה יודע את קוד נטרול האזעקה.