Petr Škuta நடந்து வரும் Black Hat பாதுகாப்பு மாநாட்டில் பல பாதிப்புகள் வெளிப்பட்டன. அவற்றில் வாட்ஸ்அப் பயன்பாட்டில் உள்ள பிழைகள் தாக்குபவர்களை செய்திகளின் உள்ளடக்கத்தை மாற்ற அனுமதிக்கின்றன.
வாட்ஸ்அப்பில் உள்ள ஓட்டைகளை மூன்று சாத்தியமான வழிகளில் பயன்படுத்தலாம். நீங்கள் அனுப்பும் செய்தியின் உள்ளடக்கத்தை மாற்றும்போது மிகவும் சுவாரஸ்யமானது. இதன் விளைவாக, நீங்கள் உண்மையில் எழுதாத உரை காட்டப்படும்.
அவ்வாறு இருந்திருக்கலாம் உங்களுக்கு ஆர்வம்
இரண்டு விருப்பங்கள் உள்ளன:
- செய்தி அனுப்புபவரின் அடையாளத்தைக் குழப்ப, தாக்குபவர் குழு அரட்டையில் "பதில்" அம்சத்தைப் பயன்படுத்தலாம். கேள்விக்குரிய நபர் குழு அரட்டையில் இல்லாவிட்டாலும் கூட.
- மேலும், அவர் மேற்கோள் காட்டப்பட்ட உரையை எந்த உள்ளடக்கத்துடனும் மாற்றலாம். இதனால் அசல் செய்தியை முழுமையாக மேலெழுத முடியும்.
முதல் வழக்கில், மேற்கோள் காட்டப்பட்ட உரையை நீங்கள் எழுதியது போல் மாற்றுவது எளிது. இரண்டாவது வழக்கில், நீங்கள் அனுப்புநரின் அடையாளத்தை மாற்ற வேண்டாம், ஆனால் மேற்கோள் காட்டப்பட்ட செய்தியுடன் புலத்தைத் திருத்தவும். உரையை முழுவதுமாக மீண்டும் எழுதலாம் மற்றும் புதிய செய்தியை அரட்டையில் பங்கேற்பாளர்கள் அனைவரும் பார்க்கலாம்.
பின்வரும் வீடியோ எல்லாவற்றையும் வரைபடமாகக் காட்டுகிறது:
செக் பாயிண்ட் நிபுணர்கள் பொது மற்றும் தனிப்பட்ட செய்திகளை கலக்க ஒரு வழியையும் கண்டறிந்துள்ளனர். இருப்பினும், வாட்ஸ்அப் புதுப்பிப்பில் இதை பேஸ்புக் சரிசெய்தது. மாறாக, மேலே விவரிக்கப்பட்ட தாக்குதல்கள் a ஆல் சரி செய்யப்படவில்லை ஒருவேளை அதை சரி செய்ய முடியாது. அதே நேரத்தில், பாதிப்பு பல ஆண்டுகளாக அறியப்படுகிறது.
குறியாக்கத்தின் காரணமாக பிழையை சரிசெய்வது கடினம்
முழு பிரச்சனையும் குறியாக்கத்தில் உள்ளது. வாட்ஸ்அப் இரண்டு பயனர்களிடையே உள்ள குறியாக்கத்தை நம்பியுள்ளது. பாதிப்பு பின்னர் ஒரு குழு அரட்டையைப் பயன்படுத்துகிறது, அங்கு நீங்கள் ஏற்கனவே மறைகுறியாக்கப்பட்ட செய்திகளை உங்களுக்கு முன்னால் பார்க்கலாம். ஆனால் Facebook உங்களைப் பார்க்க முடியாது, எனவே அடிப்படையில் அது தலையிட முடியாது.
வல்லுநர்கள் தாக்குதலை உருவகப்படுத்த வாட்ஸ்அப்பின் வலை பதிப்பைப் பயன்படுத்தினர். உங்கள் ஸ்மார்ட்போனில் நீங்கள் ஏற்றும் QR குறியீட்டைப் பயன்படுத்தி கணினியை (இணைய உலாவி) இணைக்க இது உங்களை அனுமதிக்கிறது.
தனிப்பட்ட மற்றும் பொது விசை இணைக்கப்பட்டதும், "ரகசிய" அளவுரு உள்ளிட்ட QR குறியீடு உருவாக்கப்பட்டு, மொபைல் பயன்பாட்டிலிருந்து WhatsApp இணைய கிளையண்டிற்கு அனுப்பப்படும். பயனர் QR குறியீட்டை ஸ்கேன் செய்யும் போது, தாக்குபவர் அந்த தருணத்தைப் பிடித்து, தகவல்தொடர்புகளை இடைமறிக்க முடியும்.
தாக்குபவர் ஒரு நபரைப் பற்றிய விவரங்களைப் பெற்ற பிறகு, ஒரு குழு அரட்டை, தனிப்பட்ட ஐடி உட்பட, அவர் அனுப்பிய செய்திகளின் அடையாளத்தை மாற்றலாம் அல்லது அவற்றின் உள்ளடக்கத்தை முழுமையாக மாற்றலாம். மற்ற அரட்டை பங்கேற்பாளர்கள் இதனால் எளிதில் ஏமாற்றப்படலாம்.
இரு தரப்பினருக்கும் இடையிலான சாதாரண உரையாடல்களில் மிகவும் சிறிய ஆபத்து உள்ளது. ஆனால் உரையாடல் பெரியதாக இருந்தால், செய்தியை வழிசெலுத்துவது கடினமாகும், மேலும் ஒரு போலிச் செய்தி உண்மையான விஷயமாகத் தோன்றுவது எளிதாகும். எனவே கவனமாக இருப்பது நல்லது.
அவ்வாறு இருந்திருக்கலாம் உங்களுக்கு ஆர்வம்
டேவிட் ஹனக் ஆதாரம்: 9to5Mac
