WhatsApp的安全漏洞允许黑客篡改聊天消息

每天发送超过10亿用户和超过600亿条消息，Facebook拥有的WhatsApp在假新闻和谣言传播方面遇到了问题。因此，他们不得不限制特定消息可以转发的次数。

现在情况变得更糟了，因为来自CheckPoint的研究人员找到了一种控制聊天对话的方法，以便修改收到的现有回复，引用一条消息，使其看起来来自另一个可能不属于该组的用户，以及发送只能由一个人在一个群组中看到的私人消息，但将回复发送给其中的所有人。

“鉴于WhatsApp在消费者，企业和政府机构中的盛行，黑客将这种应用视为潜在骗局的五星级机会并不奇怪，”Check Point产品漏洞研究负责人Oded Vanunu 对这些调查结果表示肯定。“作为当今可用的主要沟通渠道之一，WhatsApp用于敏感对话，包括机密的公司和政府信息，以及可用于法庭的刑事情报。”

使用这些技术，攻击者可以操纵对话和分组消息，以便更改证据并传播虚假新闻和错误信息。

黑客如何入侵

由于WhatsApp对通过应用程序发送的消息进行加密，为了确定WhatsApp如何发送消息，他们首先必须解密网络请求。虽然用户之间的消息是安全的，但本地客户端仍然需要解密消息。这允许CheckPoint反转加密，然后在本地解密网络请求以确定通信的完成方式。

现在他们可以看到发送消息时正在使用的变量，他们可以开始操纵变​​量，以便查看可以更改或完成的内容。这使他们发现他们可以修改消息或改变他们出现的方式以混淆收件人。

“然后你就可以开始玩这些参数了，并尝试将系统攻击为普通的Web应用程序而不需要加密。” CheckPoint研究员Roman Zaikin告诉Bleeping Computer。

为了演示此攻击，您可以观看由CheckPoint研究人员创建的下面的视频。

Zaikin还告诉我们，这个漏洞只能由用户在会话中执行，并且由于加密通信而无法由嗅探网络的人执行。