Gadgetshowto
Världens mest populära meddelandeprogram kan hävda att det är en extremt säker fästning, men kanske kan den behöva tänka om efter att en kritisk säkerhetsfel i WhatsApp avslöjats.
Säkerhetsforskare från Ruhr University Bochum, Tyskland har grävt ett antal säkerhetsproblem i krypterade meddelandeprogram som WhatsApp, Signal och Threema. Teamet avslöjade sina resultat vid säkerhetskonferensen Real World Crypto på onsdagen i Zürich den här veckan. Medan alla tre ovannämnda appar påverkas av en eller annan sårbarhet, verkar den som påverkar WhatsApp vara den allvarligaste.
Enligt forskarna låter en inneboende designfel i den Facebook-ägda chattappen alla som kontrollerar WhatsApp-servrarna infoga nya människor i privata gruppchattar utan att behöva administratörsbehörighet, trots löften om end-to-end-kryptering..
Medan varje medlem i gruppen fortfarande kommer att få meddelanden om att en ny medlem går med i gruppen, säger Ruhr University-teamet att en intelligent hackare som kontrollerar WhatsApp-servrar kan använda några olika lösningar för att undvika eller åtminstone fördröja upptäckt.
WhatsApps svar
Medan WhatsApp erkände forskarnas resultat, insisterade en företags talesman i ett telefonsamtal med Wired fortfarande att meddelanden kommer att skickas ut till varje befintlig medlem om eventuella nya aktörer i en grupp. "Vi byggde WhatsApp så att gruppmeddelanden inte kan skickas till en dold användare", citerade rapporten en talesman på e-post om WhatsApps säkerhetsfel.
Under tiden avvisade Facebooks säkerhetschef Alex Stamos resultaten med en offentlig tweet.
https://twitter.com/alexstamos/status/951169174688026625
Förklara WhatsApp säkerhetsfel
Problemen uppstår på grund av i vilken utsträckning en potentiell angripare kan utnyttja denna WhatsApp-säkerhetsfel. De kan blockera meddelanden från administratörer eller andra medlemmar som kan försöka varna alla om de nya deltagarna genom att cacha meddelanden och sedan selektivt släppa igenom några. En komprometterad WhatsApp-server tillåter också hackaren att bestämma vilket meddelande som skickas till vem oavsett avsedda mottagare.
Processen blir lite tuffare i grupper med flera administratörer, där man-i-mitten behöver skicka olika meddelanden till varje administratör, vilket gör att det verkar som om en annan hade bjudit in dem till gruppen. Det som är lika alarmerande är påståendet att även efter att ha blivit upptäckt som en oförbjuden gäst kan hackaren förhindra att de utvisas från gruppen.
