WhatsApp漏洞允许用户修改群聊来传播假新闻

WhatsApp是世界上最流行的消息传递应用程序，被发现容易受到多个安全漏洞的攻击，这些漏洞可能允许恶意用户拦截和修改在私人和团体对话中发送的消息的内容。

以色列安全公司Check Point的安全研究人员发现，这些漏洞利用WhatsApp安全协议中的漏洞来更改消息内容，允许恶意用户从“看似可信的来源”创建和传播错误信息或假新闻

这些缺陷存在于WhatsApp移动应用程序与WhatsApp Web连接的方式中，并使用protobuf2协议

这些漏洞可能允许黑客在WhatsApp群组对话中滥用“quote”功能来更改发件人的身份，或更改其他人对群组聊天的回复内容，甚至向其中一个群组参与者发送私人消息（但其他成员看不见），伪装成所有人的群组消息。

在一个例子中，研究人员能够更改WhatsApp聊天记录，该记录显示：太棒了“—；由小组的一名成员发送—；阅读”我马上就要死在医院里了！"

需要注意的是，报告的漏洞不允许第三方拦截或修改端到端加密的WhatsApp消息，但只有已经参与群组对话的恶意用户才能利用这些漏洞。

视频演示—；如何修改WhatsApp聊天

为了利用这些漏洞，检查点研究人员—；迪卡拉·巴尔达、罗曼·扎金和奥德·瓦努努—；为流行的web应用程序安全软件Burp Suite创建了一个新的自定义扩展，允许他们轻松拦截和修改WhatsApp web上发送和接收的加密消息。

他们命名的工具“WhatsApp协议解密打嗝工具，在Github上免费提供，首先要求攻击者输入其私钥和公钥，正如三人在一篇博客文章中所解释的那样，“在生成二维码之前从WhatsApp Web的密钥生成阶段获得”，这两个密钥很容易获得。

“通过解密WhatsApp通信，我们能够看到移动版WhatsApp和网络版之间实际发送的所有参数。这使我们能够操纵它们，并开始寻找安全问题。”

在上面显示的YouTube视频中，研究人员展示了他们开发的三种不同技术，这使他们能够：

攻击1—；改变记者的回答，让他们开口说话

如视频所示，恶意WhatsApp用户可以使用Burp套件扩展来改变其他人回复的内容，实质上就是把单词塞进他们的嘴里。

攻击2—；更改群聊中发件人的身份，即使他们不是成员

该攻击允许WhatsApp组中的恶意用户利用“quote”功能—；它允许用户通过标记来回复聊天中过去的消息—；在对话中，欺骗回复消息以模拟另一个组成员，甚至是不存在的组成员。

攻击3—；在聊天组中发送私人消息，但当收件人回复时，整个组都会看到它

第三次WhatsApp攻击允许恶意组用户发送只有特定用户才能看到的精心编制的消息。如果目标个人回复了同一条消息，则其内容才会显示给组中的每个人。

WhatsApp/Facebook选择不修补报告的攻击

三人向WhatsApp安全团队报告了这些漏洞，但该公司辩称，由于这些消息不会破坏端到端加密的基本功能，用户“总是可以选择阻止试图欺骗消息的发件人，他们可以向我们报告有问题的内容。”

WhatsApp安全团队回答研究人员说：“这些是之前公开提出的已知设计权衡，包括在2014年的一篇博客文章中通过Signal提出的，目前我们不打算对WhatsApp进行任何更改。”。

WhatsApp与研究人员分享的另一个论点是，为什么该公司不能停止修改信息内容—；“这是一个已知的边缘案例，涉及到我们不在服务器上存储消息，也没有这些消息的单一真实来源。”

“我的观点是错误的信息，WhatsApp在我们的日常活动中起着至关重要的作用。所以，在我看来，他们确实必须解决这些问题，”检查站研究员罗曼·扎金说。

“始终是功能性与安全性的较量，这一次WhatsApp选择了功能性。”

由于WhatsApp已经成为传播假新闻和错误信息的最大工具之一，至少在政治问题高度动荡的国家，我们认为WhatsApp应该解决这些问题，同时限制转发的消息。