مقدمه:
یکی از آسیب پذیری های جاسوسی مهم در سرویس های پیام رسان در سال 2018، امکان شنود مخفیانه یا استراق سمع مکالمات و گپ های خصوصی رمزشده در برنامه WhatsApp است.
متن خبر:
در رمزنگاری بین دو نقطه هدف اصلی این است به فرد یا عامل واسط بین دونقطه شامل شرکت اراده کننده خدمات یا سرور انتقال دهنده داده ها اعتماد نشود. یعنی در بدترین حالت یک کارمند ناراضی از شرکت واسط نیز به هیچ عنوان قادر به شنود ارتباطات رمزشده بین دو نقطه نباشد. متاسفانه هم اکنون هیچ یک از شرکت هایی که سرویس پیام رسان رمزشده بین دو نقطه ارائه می کنند مانند WhatsApp , Threema و Signal، این موضوع را به صورت کامل رعایت نکرده اند.
محققین آلمانی دریافتند که راهبران سرویس های پیام رسان WhatsApp و Signal قادر هستند تا به صورت مخفیانه و بدون هیچ گونه مجوزی از مدیرگروه، اعضایی را به یک گروه خصوصی ایجاد شده، اضافه کنند. بنا بر اظهارات ایشان، در گروه های دو نفره که تنها دو کاربر با هم ارتباط دارند، سرور اختیارات محدودی دارد اما در گروه های چندتایی و به صورت رمزشده، سرور می تواند کل فرآیند مکالمات را مدیریت کند.
به دلیل اینکه دو پیام رسان WhatsApp و Signal قادر نیستند تا فردی که یک عضو جدید را به گروه اضافه می کند، احرازهویت کنند، لذا یک فرد غیرمجاز (نه مدیر گروه یا عضوی از آن گروه) می تواند شخص مورد نظرش را به یک گروه خصوصی اضافه کند. بنابراین یک راهبر بداندیش یا کارمند ناراضی از شرکت واسط که به سرور برنامه دسترسی دارد می تواند پیام های مبادله شده گروه را تغییر دهد.
محققین امنیتی به شرکت های تولیدکننده سرویس های پیام رسان پیشنهاد می کنند که برای رفع این آسیب، یک رویه احرازهویت برای این موضوع به برنامه اضافه کنند تا تعیین کند پیام های تایید شده مدیریتی درون گروه تنها از سوی مدیر گروه ارسال شده است.
- منبع:
https://thehackernews.com/2018/01/whatsapp-encryption-spying.html