WhatsApp Gizlilik Kusuru Cihazlarının Diğer Kullanıcılara Bilgilendirilmesi


WhatsApp Gizlilik Kusuru Cihazlarının Diğer Kullanıcılara Bilgilendirilmesi

Bilgisayar korsanları, kullanıcı verilerine, mesajlarına ve hassas bilgilere yetkisiz erişim sağlamak için WhatsApp kusurlarından yararlanmaya çalışıyor.

Bu kusurlardan yararlanmak, tehdit aktörlerinin kullanıcı gizliliğini tehlikeye atmasına, casusluk yapmasına ve kötü niyetli faaliyetlerde bulunmasına olanak tanır.

Son zamanlarda, bir siber güvenlik analisti olan Tal Be’ery, diğer kullanıcıların bilgilerini engelleyen bir WhatsApp gizlilik kusuru keşfetti.

Belge

Ücretsiz Web Semineri

MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.


WhatsApp Gizlilik Kusuru

5 milyardan fazla indirmeye ve 2,4 milyar aktif kullanıcıya sahip olan WhatsApp, mesaj gizliliği açısından Uçtan Uca Şifreleme (E2EE) protokolünü kullanıyor.

WhatsApp, her uygulamanın güvenli mesajlaşma için benzersiz bir kripto anahtarı oluşturduğu E2EE’yi 2016 yılında tanıttı. Bu anahtar, diğer kullanıcılara bir cihaz değişikliğinin gerçekleştiğini bildirmek için yeniden yükleme sırasında değişen cihaza bağlıdır.

Şifreleme doğrulaması (Kaynak - Aracı)
Şifreleme doğrulaması (Kaynak – Araç)

WhatsApp, yedeklemeden geri yüklendiğinde aynı anahtarı koruyarak uygulamanın yeniden yüklenmesi sırasında bilgi sızıntısını önler. 2021’de, çoklu cihaz mimarisiyle birlikte tamamlayıcı cihazlar, uygulama kaldırılıncaya kadar geçerli olan ve “Kimlik anahtarları” olarak bilinen anahtarlarını oluşturuyor.

Gönderen, çok cihazlı bir alıcıya mesaj gönderirken Kimlik Anahtarını temel alarak her cihaz için oturum anahtarları oluşturur.

Uçtan uca şifreli kanallar (Kaynak - Aracı)
Uçtan uca şifreli kanallar (Kaynak – Aracı)

İstemci yayılımı kullanılarak, her mesaj tüm cihazlar için şifrelenir; bu, gönderenin, birincil ve yardımcı cihazlar arasındaki ayrımı da dahil ederek tüm alıcı cihazları bilmesini ve bunlardan haberdar olmasını gerektirir.

Tehdit aktörleri, kimlik anahtarlarını tarayıcının yerel deposunda saklayan WhatsApp web istemcisinden yararlanarak WhatsApp kullanıcılarının cihaz bilgilerine erişebilir.

‘Signal-storage.identity-store’ tablosunun incelenmesi, kullanıcı kişilerini ve bunların anahtarlarını ortaya çıkarır; bu, ‘.0’ sonekine sahip birincil cihazları ve ‘ ile eşlik eden cihazları birbirinden ayırır:.0′ son eki

Kimlik deposu tablosu (Kaynak - Aracı)
Kimlik deposu tablosu (Kaynak – Aracı)

Bu yöntemleri kullanan tehdit aktörleri, eşlik eden cihazları ve kimlik değişikliklerini izleyerek herhangi bir WhatsApp kullanıcısının cihaz bilgisini pasif olarak sorgulayabiliyor.

Bu, belirli cihazları hedef alan saldırılar için ‘en az dirençli yolu’ seçmelerine ve kullanıcı platformlarındaki değişikliklerden yararlanmalarına olanak tanır. Gelişmiş olmayan saldırganlar bile WhatsApp içeriğine erişmek için bu bilgilerden yararlanabilir.

Ancak araştırmacı Meta’yı bu hata hakkında bilgilendirdi ve aşağıdaki yanıtı aldı: –

Meta'dan Yanıt (Kaynak - Aracı)
Meta’dan Yanıt (Kaynak – Araç)

Tablonun kaldırılması kısmi bir çözüm olsa da asıl sorun E2EE protokolünün gerçek gizlilik için düzeltilmesinde yatmaktadır. Kimlik anahtarlarının kişilere maruz kalmasını sınırlamak için bir güvenlik kontrolünün getirilmesi, işaretlere değinmeden bu gizlilik sızıntısını önemli ölçüde azaltacaktır.

Dijital sistem güvenliğini değerlendirmek için Kelltron’un uygun maliyetli sızma testi hizmetlerini deneyin. Ücretsiz demo mevcut.



Source link