צפו: חוקרים ישראליים מדגימים איך אפשר לזייף הודעות שלכם בוואטסאפ

החוקרים טוענים כי דיווחו לפייסבוק כמקובל על הבעיות עוד בשנה שעברה, אך לא כולן טופלו

מקור: גיקטיים

כבר התרגלנו לכך שבעידן הפייק ניוז והרשתות החברתיות, כמעט כל אחד יכול להפיץ מידע שקרי למטרות שונות. אבל מה אם נגיד לכם שכל אחד יכול להכניס מילים לפה שלכם בוואטסאפ? לא מדובר סתם בצילומי מסך, אלא הודעות שגם אתם לא תהיו בטוחים אם כתבתם או לא. חוקרים ישראליים מצ׳ק פוינט עלו על הבמה ב-Black Hat 2019, כנס אבטחת המידע המפורסם, וטענו כי גילו כבר בשנה שעברה 3 פירצות אבטחה בוואטסאפ, אך פייסבוק התייחסה רק לאחת מהן, והתעלמה מהשאר. אז מה הם עושים כדי ללחוץ על פייסבוק לתעדף את הבעיות אחרי שנה שלמה? מפרסמים את פרטי הפרצות שלא טופלו.

לשנות את כל התוכן הנכתב ברגעים

בצ׳ק פוינט מסבירים כי לקראת סוף שנת 2018 גילו 3 פירצות אבטחה: הראשונה משתמשת בפיצ׳ר הציטוט (Quote) ומאפשרת לשנות את זהות שולח ההודעה, השנייה מאפשרת לשנות לחלוטין את התוכן שנכתב בתגובה (Reply) של משתמש אחר, והשלישית מאפשרת לשלוח הודעה פרטית למשתמש אחר בקבוצה שנראית כמו הודעה קבוצתית, וברגע שהוא יגיב לה, היא תהיה חשופה לכל המשתתפים. נכון להיום, טוענים בצ׳ק פוינט, פייסבוק התייחסה אך ורק לפירצה השלישית ותיקנה אותה, בעוד השתיים האחרות עדיין זמינות לכל תוקף.

מעכשיו גיקטיים גם בטלגרם מעכשיו גיקטיים גם בטלגרם להצטרפות לערוץ הטלגרם שלנו לחץ כאן

מאחר שוואטסאפ מצפינה את כל ההודעות שעוברות דרכה, החוקרים בצ׳ק פוינט החליטו לפנות ל-Whatsapp Web כדי לחלץ את המפתחות הפרטיים והפומביים של ההתכתבויות. לאחר הפענוח של ההתכתבות, לא רק שהחוקרים יכולים כעת לראות את התוכן של המידע העובר בין גירסת המובייל לבין גירסת הווב של וואטסאפ, אלא גם לשנות את התוכן שלהן, ובכך פשוט להכניס מילים לפה של המתכתבים. החוקרים בנו כלי שבתוך שניות יכול לתת להם את השליטה הנדרשת, וכך הוא נראה:

מנגד, בפייסבוק טוענים שלא מדובר בפירצה חמורה כל כך שמשפיעה על האבטחה של וואטסאפ, שכן היא דומה במהותה לשליחה של שרשור התכתבויות במייל, ועריכה של התכנים שלהם כדי להוציא תכנים מהקשרם או להכניס מילים לפה של אדם אחר. עוד מוסיפים בחברה כי טיפול בבעיות שהוצפו על ידי צ׳ק פוינט עשוי להפוך את וואטסאפ לפחות מאובטחת, ולדרוש מהחברה לאחסן מידע נוסף בשרתיה – מה שעשוי לפגוע בפרטיות המשתמשים.

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

13 תגובות על "צפו: חוקרים ישראליים מדגימים איך אפשר לזייף הודעות שלכם בוואטסאפ"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
לירן
Guest

ישן, וסתפ מנסים להוציא כותרת ממחקר שהם עשו אבל לא הניב תוצאות מרשימות

משתמש אובונטו
Guest

הם אומרים ובצדק שה”פרצה” הזאת לא מעניינת ולא שווה לתקן אותה. הדוגמה של האימייל נכונה. כל אחד יכול לעשות reply או forawrd ולשנות את תוכן ההודעה של המקורי. לא מעניין.

משתמש
Guest

זה לגמרי פרצה מעניינת כיוון שמשתמש קצה לא יכול לעשות את זה בקלות ולכן לא חושב שזה אפשרי, וזה משנה את כל התמונה, במיילים אתה יודע שזה אפשרי ולכן אתה מתייחס לזה אחרת, לכן בוואטסאפ זה יותר חמור.

שמעון
Guest

זו כמו תופעת “חי בונה”

Nadav
Guest

מה זה תופעת “חי בונה”? לא הצלחתי למצוא מידע על זה בגוגל.

never say never
Guest

לזה אתם קוראים פרצה? על זה השקעתם כסף במחקר? לא חבל? ההודעה המקורית עדיין קיימת כך שה”עובד” יכול להשיב לכל נוסח ולרשום גם 50000$.. הוא עדיין יקבל תוספת של 500$

מישנהו
Guest

עוד כתבה ממומנת, תגידו כמה עולה לפרסם כתבה אצלכם?

L.S
Guest

בהחלט מעניין. אני תוהה אם מצאו עוד פרצות אבל לא מספרים לנו.

תום
Guest

אותי מעניין איך זה שלא עושים רעש מכך שכל אדם בישראל יכול לזייף את מספר השולח בהודעת sms

מישהו מיוחד
Guest

חברות הסלולר (אלא שמוכרות לספאמרים את שירות הSMSים), יכולות בקלות לדעת מי שלח את הודעות הספאם האלה. אבל אין חוק שמחייב אותם לחשוף את הפרטים האלה (אולי חוץ ממקרים פליליים – אבל זה אולי 1% מהמקרים).

אז במקום לטפל בבעיה, ממציאים חוק שאסור לשלוח ספאם.
אבל לך תמצא את הספאמר…
אה וכמובן אלה שהמציאו את החוק לא נחשבים כספאמרים כי התוכן שלהם זה לא פרסומי. זה תוכן שכולם צריכים לקבל והוא מאוד מעניין אותנו…

רועי
Guest

איך?

מישהו
Guest

sender ID הוא בסך הכל כותרת של הבקשה, כמו נושא במייל. גם אתה יכול לשנות אותה עם תוכנות מתאימות (אסטריסק נניח), אבל חברות הסלולר לא יעבירו את ההודעה שלך אם אתה לא רשום כ SMS Provider שיכול לשלוח הודעות על שם מספרים אחרים. אם תשלם להן תוכל להספים אחרים, בדיוק כפי שחברות ה IVR עושות. המסקנה הברורה היא שאין כאן שום פרצה, הכל בכוונה ולמטרות רווח

כבר ראינו את זה
Guest
כבר ראינו את זה

מה שהם עשו פה זה MitM ע”י חילוץ המפתח הפרטי של עצמם והתקנתו על שרת באמצע. ברור שאם יש לך את המפתח הפרטי של עצמך אז אתה יכול לפענח הודעות בשיחה שלך. העובדה שהם לקחו את המפתח של עצמם הופכת את זה לבעיה לא מעניינת כמו שפייסבוק בצדק טוענים. זה כמו להגיד שאתה יכול לפרוץ לבית של עצמך ולגנוב הכל כי יש לך את המפתח לדלת ואתה יודע את קוד נטרול האזעקה.

wpDiscuz

תגיות לכתבה: