Các nhà nghiên cứu đã phát hiện ra một lỗ hổng trong phương thức mã hóa của WhatsApp có thể cho phép các tác nhân độc hại thao túng các thông điệp và nhận dạng người dùng trong các cuộc trò chuyện nhóm. Các nhà nghiên cứu lo ngại rằng điều này có thể được sử dụng để lan truyền các thông điệp và tin tức giả mạo.
Tất cả các tin nhắn được gửi qua dịch vụ được bảo mật thông qua mã hóa đầu cuối - nghĩa là WhatsApp thậm chí cũng không thể xem các tin nhắn đó. Nhưng một nhóm nghiên cứu của Check Point Research đã phát hiện ra ba phương pháp tấn công có thể bắt nguồn từ việc đảo ngược quá trình mã hóa này, và sau đó truy cập dữ liệu truyền thông đã được giải mã.
Sử dụng tính năng 'trích dẫn' trong cuộc trò chuyện nhóm, tin tặc có thể thay đổi nhận dạng của người gửi, thay đổi nội dung của tin nhắn đã gửi trước đó và gửi tin nhắn riêng (tin ngắn đã được cải trang thành tin nhắn công khai) cho thành viên trong nhóm - nghĩa là những tin nhắn phản hồi (những tin nhắn họ tin là tin nhắn riêng tư) sẽ được công khai.
WhatsApp đã phủ nhận đây là một lỗ hổng bảo mật và khẳng định mã hóa đầu cuối vẫn an toàn.
Dikla Barda, Roman Zaikin và Oded Vananu từ viện nghiên cứu Check Point Research đã viết trong một bài đăng trên blog: “WhatsApp, có hơn 1,5 tỷ người dùng với hơn một tỷ nhóm và 65 tỷ tin nhắn được gửi mỗi ngày. Với rất nhiều cuộc trò chuyện, thì tiềm năng về lừa đảo trực tuyến, tin đồn và tin tức giả là rất lớn".
"Nó không giúp được gì, nếu các nhân tố đe dọa có thêm vũ khí trong kho vũ khí của họ để tận dụng nền tảng cho ý định không tốt."
"Tiếp nối quá trình của Responsible Disclosure, Check Point Research đã thông báo cho WhatsApp về những phát hiện của họ. Từ quan điểm của Check Point Research, chúng tôi tin rằng những lỗ hổng này là cực kỳ quan trọng nhất và cần được chú ý."
Sau khi giải mã các tin nhắn WhatsApp và truy cập chúng thông qua web, các nhà nghiên cứu không chỉ có thể xem các tham số riêng lẻ tạo nên các thông điệp - tức là tên người gửi, nội dung tin nhắn, tên người nhận ... mà còn có thể thao tác trên các thông điệp này.
Trong một ví dụ, các nhà nghiên cứu đã có thể thay đổi một tin nhắn được đăng trong một cuộc trò chuyện nhóm từ một liên kết đến một bài viết đề xuất "Những lời khuyên tuyệt vời về sức khỏe", với một thông điệp "mọi người chú ý, tôi vừa được biết sản phẩm X có thể gây bệnh ở trẻ em, tôi sẽ khong sử dụng sản phẩm đố nữa!! " sử dụng tính năng trích dẫn (quote).
Các nhà nghiên cứu cũng đã phát triển một phiên bản của công cụ mà họ sử dụng để chứng minh các vấn đề và người dùng có thể tải xuống miễn phí thông qua Github.
Việc sử dụng mã hóa đầu cuối của WhatsApp được sử dụng đầy đủ kể từ năm 2016, đã thu hút sự quan tâm của chính phủ các nước và các cơ quan an ninh, những người cho rằng ứng dụng nhắn tin có thể được sử dụng bởi những kẻ cực đoan để vạch ra các cuộc tấn công khủng bố mà không thể bị truy tìm.
Điều quan trọng là vì bản chất của hình thức mã hóa này có nghĩa là WhatsApp không lưu trữ bất kỳ dữ liệu nào được gửi bằng ứng dụng. Do đó rất khó để xem cách các dịch vụ nhắn tin có thể xác minh hoặc tham chiếu các thư bị nghi ngờ là giả mạo với 'bản gốc' nếu chúng bị can thiệp bởi các phương pháp được triển khai bởi Check Point Research.
Người phát ngôn của Whatapps cũng cho biết để có thể thực hiện các khuyến nghị của Check Point Research, WhatsApp sẽ được yêu cầu truy cập vào tất cả các tin nhắn - mà WhatsApp không thể làm được điều này vì nó liên quan đến quyền riêng tư của người dùng – hoặc hạn chế phần lớn các chức năng của các cuộc trò chuyện nhóm.
