![WhatsApp 취약점으로 인해 다른 사람이 메시지를 속일 수 있음 - 뉴스 WhatsApp 취약점으로 인해 다른 사람이 메시지를 속일 수 있음 - 뉴스](https://a.23rdpta.org/news/whatsapp-vulnerabilities-allow-others-to-fake-messages.jpeg)
- 연구원들은 Black Hat 2019 컨퍼런스에서 여러 WhatsApp 취약점을 발견했습니다.
- 이 취약성으로 인해 악의적 인 행위자가 채팅을 조작 할 수 있습니다.
- Facebook에는이 취약점에 대한 해결책이 없습니다.
어제 Check Point Research는 WhatsApp의 최근 보안 결함으로 인해 악의적 인 사용자가 채팅을 스푸핑하여 자신이 온 것처럼 보이게 할 수 있다고 밝혔다. Check Point Research는 Black Hat 2019 보안 컨퍼런스에서 조사 결과를 발표했습니다.
연구원에 따르면이 취약점을 악용하는 세 가지 방법이 있습니다.
- 보낸 사람의 신원을 바꾸려면 그룹 대화에서 "인용"기능을 사용하십시오.
- 다른 사람의 답변 텍스트를 변경하여 본질적으로 입에 단어를 넣습니다.
- 모두에게 공개적으로 위장한 다른 그룹 참가자에게 개인을 보내십시오. 따라서 대상 개인이 응답하면 대화의 모든 사람이 볼 수 있습니다.
Check Point는 2018 년 8 월 WhatsApp에 취약점에 대한 정보를 제공했습니다. 그런 다음 WhatsApp은 세 번째 방법을 수정했습니다. 그러나 연구원들은 인용 된 것들을 조작하고 스푸핑하는 것이 여전히 가능하다는 것을 발견했습니다. Check Point는 Burp Suit Extension을 사용하여 WhatsApp의 엔드 투 엔드 암호화 및 채팅 해독을 중단했습니다. 여기에서 악용 가능한 요소는 QR 코드를 사용하여 휴대폰과 페어링하는 WhatsApp의 웹 버전입니다.
Check Point는 먼저 WhatsApp에서 QR 코드를 생성하기 전에 생성 된 공개 및 개인 키 쌍을 얻었습니다. QR 코드를 스캔 할 때 휴대폰에서 WhatsApp 웹 클라이언트로 전송 된 "비밀"매개 변수와 결합 된 Burp Suit Extension을 사용하면 쉽게 모니터링하고 암호를 해독 할 수 있습니다.
페이스 북 대변인은 다음 웹:
1 년 전에이 문제를 신중하게 검토 한 결과 WhatsApp에서 제공하는 보안에 취약성이 있다고 제안하는 것은 허위 사실입니다. 여기에 설명 된 시나리오는 사람이 작성하지 않은 것처럼 보이도록 이메일 스레드에서 회신을 변경하는 것과 동등한 모바일 기능 일뿐입니다. 이러한 연구원들이 제기 한 우려를 해결하면 출처에 대한 정보를 저장하는 것과 같이 WhatsApp의 개인 정보를 보호 할 수 없다는 점에 유의해야합니다.
불행히도이 회사는 WhatApp 취약점에 대한 해결책이없는 것 같습니다. 메시징 서비스는 엔드 투 엔드 암호화를 사용하므로 Facebook은 해독 된 버전의 s에 액세스 할 수 없습니다. 이는 악의적 인 행위자가 위에서 언급 한 취약점을 악용하면 Facebook이 개입 할 수 없음을 의미합니다.