ప్రస్తుతం జరుగుతున్న బ్లాక్ హ్యాట్ సెక్యూరిటీ కాన్ఫరెన్స్లో అనేక బలహీనతలు వెల్లడయ్యాయి. వాటిలో వాట్సాప్ అప్లికేషన్లోని బగ్లు దాడి చేసేవారిని మెసేజ్ల కంటెంట్ను మార్చడానికి అనుమతిస్తాయి.
వాట్సాప్లోని రంధ్రాలను మూడు విధాలుగా ఉపయోగించుకోవచ్చు. మీరు పంపుతున్న సందేశంలోని కంటెంట్ను మార్చినప్పుడు అత్యంత ఆసక్తికరమైన విషయం. ఫలితంగా, మీరు నిజంగా వ్రాయని వచనం ప్రదర్శించబడుతుంది.
రెండు ఎంపికలు ఉన్నాయి:
- దాడి చేసే వ్యక్తి సందేశం పంపిన వ్యక్తి యొక్క గుర్తింపును గందరగోళపరిచేందుకు సమూహ చాట్లో "ప్రత్యుత్తరం" ఫంక్షన్ను ఉపయోగించవచ్చు. ప్రశ్నించిన వ్యక్తి గ్రూప్ చాట్లో లేకపోయినా.
- ఇంకా, అతను కోట్ చేసిన వచనాన్ని ఏదైనా కంటెంట్తో భర్తీ చేయవచ్చు. ఇది అసలు సందేశాన్ని పూర్తిగా ఓవర్రైట్ చేయగలదు.
మొదటి సందర్భంలో, కోట్ చేసిన వచనాన్ని మీరు వ్రాసినట్లుగా మార్చడం సులభం. రెండవ సందర్భంలో, మీరు పంపినవారి గుర్తింపును మార్చరు, కానీ కోట్ చేసిన సందేశంతో ఫీల్డ్ను సవరించండి. టెక్స్ట్ పూర్తిగా తిరిగి వ్రాయబడుతుంది మరియు చాట్ పాల్గొనే వారందరికీ కొత్త సందేశం కనిపిస్తుంది.
కింది వీడియో గ్రాఫికల్గా ప్రతిదీ చూపిస్తుంది:
చెక్ పాయింట్ నిపుణులు పబ్లిక్ మరియు ప్రైవేట్ సందేశాలను కలపడానికి కూడా ఒక మార్గాన్ని కనుగొన్నారు. అయితే, వాట్సాప్ అప్డేట్లో దీన్ని ఫేస్బుక్ పరిష్కరించగలిగింది. దీనికి విరుద్ధంగా, పైన వివరించిన దాడులు a ద్వారా సరిదిద్దబడలేదు బహుశా దాన్ని కూడా పరిష్కరించలేము. అదే సమయంలో, దుర్బలత్వం సంవత్సరాలుగా తెలుసు.
ఎన్క్రిప్షన్ కారణంగా లోపాన్ని పరిష్కరించడం కష్టం
సమస్య మొత్తం ఎన్క్రిప్షన్లో ఉంది. WhatsApp ఇద్దరు వినియోగదారుల మధ్య గుప్తీకరణపై ఆధారపడుతుంది. దుర్బలత్వం సమూహ చాట్ను ఉపయోగిస్తుంది, ఇక్కడ మీరు ఇప్పటికే డీక్రిప్ట్ చేసిన సందేశాలను మీ ముందు చూడవచ్చు. కానీ Facebook మిమ్మల్ని చూడలేదు, కాబట్టి ప్రాథమికంగా అది జోక్యం చేసుకోదు.
దాడిని అనుకరించేందుకు నిపుణులు WhatsApp వెబ్ వెర్షన్ను ఉపయోగించారు. మీరు మీ స్మార్ట్ఫోన్లో లోడ్ చేసే QR కోడ్ని ఉపయోగించి కంప్యూటర్ను (వెబ్ బ్రౌజర్) జత చేయడానికి ఇది మిమ్మల్ని అనుమతిస్తుంది.
ప్రైవేట్ మరియు పబ్లిక్ కీని లింక్ చేసిన తర్వాత, "రహస్యం" పారామీటర్తో సహా QR కోడ్ రూపొందించబడింది మరియు మొబైల్ యాప్ నుండి WhatsApp వెబ్ క్లయింట్కి పంపబడుతుంది. వినియోగదారు QR కోడ్ని స్కాన్ చేస్తున్నప్పుడు, దాడి చేసే వ్యక్తి ఆ క్షణాన్ని స్వాధీనం చేసుకుని కమ్యూనికేషన్ను అడ్డగించవచ్చు.
దాడి చేసే వ్యక్తి ఒక వ్యక్తికి సంబంధించిన వివరాలను కలిగి ఉన్న తర్వాత, ఒక ప్రత్యేక IDతో సహా గ్రూప్ చాట్, అతను ఉదాహరణకు, పంపిన సందేశాల గుర్తింపును మార్చవచ్చు లేదా వాటి కంటెంట్ను పూర్తిగా మార్చవచ్చు. ఇతర చాట్ పాల్గొనేవారు సులభంగా మోసపోవచ్చు.
రెండు పార్టీల మధ్య సాధారణ సంభాషణలలో చాలా తక్కువ ప్రమాదం ఉంటుంది. కానీ పెద్ద సంభాషణ, వార్తలను నావిగేట్ చేయడం కష్టం మరియు నకిలీ వార్త అసలు విషయంలా కనిపించడం సులభం. కాబట్టి జాగ్రత్తగా ఉండటం మంచిది.
మూలం: 9to5Mac