If you continue to use this site, you consent to our Privacy Policy.

08 agosto 2018

WhatsApp vulnerabilidade permite alterar conteúdo de mensagens

Um vulnerabilidade encontrada no WhatsApp permite que usuários mal intencionados alteram o conteúdo de mensagens privadas e em grupos.

A falha está na forma como o app do WhatsApp se comunica com o WhatsApp Web e descriptografa as mensagens criptografadas ponta a ponta usando o protocolo protobuf2.

O vídeo abaixo demonstra a exploração dessa vulnerabilidade:

Na imagem acima o atacante (attacker) pergunta a vítima (victim), seu chefe, quando eles irão conversar sobre um aumento de salário. O chefe então responde que lhe dará um aumento de 500 dólares, o atacante então modifica a mensagem utilizando o Burp Suite com o script "WhatsApp Protocol Decryption Burp Tool", disponível no github, para modificar o valor do aumento para 1500 e enviar a mensagem modificada como resposta ao seu chefe através do WhatsApp Web.





O mesmo processo demonstrado acima é possível de ser feito em grupos do aplicativo. 



No vídeo também foi demonstrado um ataque que consiste em enviar uma mensagem em um grupo mas apenas a pessoa X visualiza a mensagem. No caso da imagem acima, apenas a mãe (mom) viu que o filho hacker (son attacker) mandou uma mensagem no grupo da família sobre uma festa surpresa para seu pai (dad) que está no grupo, então a mãe respondeu a mensagem do filho dizendo que ele arruinou a festa surpresa ao falar sobre a festa no grupo em que o pai está, mas no whastapp de todos os participantes, exceto da mãe e filho, ficou respondida foi a mensagem "tenham um bom dia pessoal" em vez da mensagem enviada pelo filho, afinal a mensagem enviada pelo filho chegou apenas no whatsapp da mãe, mesmo sendo enviada em grupo.. assim quem arruinou a festa foi a própria mãe.

Infelizmente a equipe de segurança do WhatsApp resolveu não corrigir a falha pois não foi encontrado um problema com a funcionalidade de criptografia ponta a ponta e os usuários podem bloquear quem estiver enviando este tipo de mensagem.






~ Artigos recomendados para você:









Please Donate To Bitcoin Address: [[address]]





Donation of [[value]] BTC Received. Thank You.


[[error]]