يتيح الضعف الشديد في WhatsApp لأي شخص قادر على التنصت على اتصال WhatsApp لفك تشفير رسائل المستخدمين.
Whatsapp ، أصبح تطبيق المحمول لمنصة الرسائل الفورية واحدة من أدوات الاتصال الرئيسية في الوقت الحاضر وشعبيتها يجعلها جذابة لباحثين الأمن والمتسللين .
هذه المرة يتم مناقشتها في حماية الرسائل المتبادلة من خلال التطبيق ، وبفضل وجود ثغرة أمنية في تطبيق التشفير يمكن أن يتم اعتراضها من قبل مهاجم.
Thijs Alkemade هو طالب في علوم الكمبيوتر في جامعة أوتريخت في هولندا ، يعمل في مشروع المراسلة الفورية Adium مفتوح المصدر ، أثناء نشاطه البحثي كشف عن مشكلة خطيرة في التشفير المستخدم لتأمين رسائل WhatsApp.
في المقال الذي يحمل عنوان " اختراق عبر تشفير واتساب " ، لاحظت شركة Alkemade أن Whatsapp ابتليت بالعديد من المشكلات الأمنية في الآونة الأخيرة ، ويسر بكل سرور كلمات المرور ، والرسائل غير المشفرة ، وحتى موقع الويب الذي يمكن
" يجب أن تفترض أن أي شخص قادر على التنصت على اتصال WhatsApp الخاص بك قادر على فك تشفير رسائلك ، مع بذل جهد كاف. يجب مراعاة جميع محادثات WhatsApp السابقة الخاصة بك. لا يوجد شيء يمكن لمستخدم WhatsApp القيام به حيال ذلك ولكنك تتوقع إيقافه باستخدامه حتى يتمكن المطورون من تحديثه ".
المهاجم الذي يستنشق محادثة WhatsApp قادر على استرداد معظم وحدات البايت النص العادي المرسلة ، يستخدم WhatsApp تشفير دفق برنامج RC4 لتوليد دفق من البايتات المشفرة بواسطة تشفير XOR الإضافي.
الاخطاء هي:
- نفس مفتاح التشفير في كلا الاتجاهين
- نفس مفتاح HMAC في كلا الاتجاهين
أدناه خدعة يستخدمها الباحث للكشف عن الرسائل المرسلة مع WhatsApp استغلال العدد الأول:
ال WhatsApp تتبنى نفس المفتاح لواردة وتيار RC4 المنتهية ولايته، " ونحن نعلم أن النص المشفر بايت أنا على الدفق الواردةxored مع النص المشفر بايت أنا على تيار المنتهية ولايته سوف يكون مساويا ل xoring الغير مشفرة بايت أنا على تيار واردة مع بايت الغير مشفرة ط بواسطة xoring هذا مع أي من وحدات بايت النص العادي ، يمكننا كشف البايت الأخرى . "
لا تكشف هذه التقنية بشكل مباشر عن جميع البايتات ولكنها تعمل في كثير من الحالات ، وهو عنصر آخر يميز المهاجم هو أن الرسائل تتبع نفس البنية ومن السهل التنبؤ بالبدء من جزء النص العادي الذي يتم الكشف عنه.
القضية الثانية المتعلقة بمعرف HMAC أكثر صعوبة في استغلالها ، وقال Alkemade كما يستخدم WhatsApp نفس مفتاح HMAC في كلا الاتجاهين ، خطأ آخر في التنفيذ الذي يعرض الرسائل للخطر ، ولكن أكثر صعوبة في استغلالها.
يستخدم MAC للكشف عن تغيير البيانات ولكن لا يكفي للكشف عن جميع أشكال العبث ، يمكن للمهاجم من المحتمل أن يتلاعب بأي رسالة.
"يقوم TLS بمقاومة هذا عن طريق تضمين رقم تسلسل في نص عادي لكل رسالة وباستخدام مفتاح مختلف لـ HMAC للرسائل من الخادم إلى العميل والرسائل من العميل إلى الخادم. لا يستخدم WhatsApp مثل عداد التسلسل ويعيد استخدام المفتاح المستخدم لـ RC4 لـ HMAC. "
Alkemade أمر بالغ الأهمية لفريق تطوير المنصة الشعبية:
" هناك العديد من المزالق عند وضع بروتوكول التشفير الدفق. وبالنظر إلى أنهم لا يعرفون كيفية استخدام xor بشكل صحيح ، ربما يجب على مطوري WhatsApp التوقف عن محاولة القيام بذلك بأنفسهم وقبول الحل الذي تم مراجعته وتحديثه وإصلاحه لأكثر من 15 عامًا ، مثل TLS .
أتفق مع تفكير الباحث ، إن أمن التطبيقات مثل WhatsApp أمر حاسم بالنظر إلى مستوى تغلغلها ، صحيح أن اهتمام المجتمع العلمي والجريمة الإلكترونية سيقودهم بالتأكيد إلى اكتشاف نقاط ضعف جديدة يجب على WhatsApp تقديمها حل سريع.
أكد Alkemade أنه لا يوجد علاج للخلل في هذه اللحظة ، لهذا السبب يقترح التوقف عن استخدام WhatsApp حتى ينتج المطورون رقعة.
احذر ... هذا خطر شديد على خصوصيتك!أن يغير حالة أي شخص.