WhatsAp的后门的故事是什么?附带视频演示

于 2017-01-16 17:12:28 发布
阅读量877 收藏
点赞数
分类专栏: 行业动态 网络安全

本文作者:Mohit Kumar,由悬镜安全实验室独家翻译,如需转载,请标注转载:http://www.xmirror.cn/


What is a backdoor?

根据定义:“后门是计算机系统的一个特征或缺陷,允许暗中未授权的访问数据,”后门是加密算法,服务器或实现中,并且不管它先前是否已被使用,或没被使用.

昨天,我们根据安全研究员Tobias Boelter报告的发现,发布了一个故事,建议WhatsApp有一个后门,“可以允许”攻击者,当然还有公司本身,拦截加密的通信。

这个涉及世界上最大的安全消息传递平台的故事在全球拥有超过10亿用户,几个小时内就消失了,吸引了来自安全专家,WhatsApp团队和Open Whisper Systems的反馈,他们与Facebook合作在WhatsApp中实施端到端加密 。

注意:我会请读者在得出结论之前阅读完整的文章。 而且,建议和意见总是邀请:)

问题是什么?

该漏洞依赖于WhatsApp在最终用户的加密密钥更改时的行为方式。

WhatsApp默认情况下信任由联系人广播的新加密密钥,并使用它重新加密未传递的邮件,并发送它们,而不通知发件人更改。

https://v.qq.com/x/page/s0366jlm6t9.html【很想给大家上传本地视频,但是目前csdn不支持,最大的缺点就是腾讯视频广告太多了。】

在我以前的文章中,我用一个简单的例子详细阐述了这个漏洞,所以你可以阅读这篇文章,以便更好地了解。

Facebook本身承认Boelter报告的这个WhatsApp问题,说“我们以前知道这个问题,并可能在未来改变它,但现在不是我们正在积极工作的变化。

专家持什么态度呢?

根据一些安全专家 - “这不是一个后门,而是一个功能,以避免不必要的重新验证加密密钥在自动再生。

开放的Whisper系统说 - “没有WhatsApp后门”,“它是如何加密工作,”和MITM攻击“是公共密钥加密,而不只是WhatsApp的流行。

开放的Whisper系统说 - “没有WhatsApp后门”,“它是如何加密工作,”和MITM攻击“是公共密钥加密,而不只是WhatsApp的流行。

事实什么呢?

值得注意的是,没有任何安全专家或公司否认的事实,如果需要,WhatsApp,政府的要求,或国家支持的黑客可以拦截你的聊天。

他们不得不说的是 - WhatsApp的设计是简单的,用户不应该失去访问发送给他们的邮件,当他们的加密密钥更改。

开放Whisper系统(OWS)在一篇博客文章中批评了卫报的报道,“即使我们是WhatsApp的加密协议的创造者据称”后援“,我们没有被要求评论。

什么? “...加密协议据称”backdoored“的WhatsApp ...”不!

没有人说这是一个“加密后门”; 而是这个后门存在于WhatsApp如何实现端到端加密的方式,它最终允许拦截消息而不破坏加密。

正如我在前面的故事中提到的,这个后门与Open Whisper Systems创建的信号加密协议的安全无关。 如果实施正确,它是最安全的加密协议之一。

那么为什么Signal比WhatsApp更安全?

这是因为总有改进的余地。

默认情况下,信号消息应用程序允许发件人在使用新密钥之前验证新密钥。 而WhatsApp默认情况下自动信任收件人的新密钥,而不通知发件人。

即使发件人已打开安全通知,应用程序只会在邮件传递后通知发件人更改。

所以,在这里,WhatsApp选择可用性的安全和隐私。

这不是关于“我们相信WhatsApp / Facebook?”

WhatsApp说,它不给政府一个“后门”到其系统

毫无疑问,如果公司收到任何这样的法院命令,并且目前正在尽最大努力保护其十亿多用户的隐私,肯定会与政府打仗。

但是国家赞助的黑客呢? 因为,技术上,没有这样的“保留”后门,只有公司才能访问。

为什么“验证密钥”功能无法保护您?


WhatsApp还提供了第三个安全层,您可以通过扫描QR码或通过比较60位数字来验证与您通信的其他用户的密钥。

但这里的可以捕获一些信息:

此功能确保没有人在您验证密钥时拦截您的邮件或呼叫,但不能确保过去没有人拦截或将来拦截您的加密通信,并且没有办法, 目前,这将有助于你识别这一点。

WhatsApp防止这样的MITM攻击是不完整的


WhatsApp已经提供了“安全通知”功能,通知用户每当联系人的安全代码更改,您需要从应用程序设置手动打开。

但这个功能不足以保护您的通信,而不使用另一个最终的工具,这是 - 常识。

您是否收到通知,指出您的联系人的安全代码已更改?

WhatsApp不想提供“按设计的安全性”,而是希望其用户使用他们的常识,不与最近更改了其安全密钥的联系人通信,而不手动验证密钥。

WhatsApp自动更改您的安全密钥的事实(由于某些原因),人们会开始忽略这样的通知,使用户几乎不可能每次主动查看验证会话密钥的真实性。

WhatsApp应该做什么?

没有恐慌所有十亿多用户,WhatsApp至少可以这样做:

1.停止重新生成用户的加密密钥如此频繁(我显然不知道为什么公司这样做)。

2.在设置中为隐私意识的用户提供一个选项,如果启用,用户将不会自动信任新的加密密钥和发送消息,直到用户手动接受或验证。

因为就像其他人一样,我也讨厌使用两个应用程序与我的朋友和工作同事沟通,即隐私信号和WhatsApp,因为每个人都使用它。

悬镜安全
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
供应链投毒预警 | utilitytool系列Py包开展XenoRAT远控木马投毒
06-21 649
上周,悬镜供应链安全情报中心在Pypi官方仓库(https://pypi.org/)中捕获2起针对Windows系统的Python包投毒事件。
博客
供应链投毒预警 | 开源供应链投毒202404月报发布(含投毒案例分析)
05-16 808
2024年4月,悬镜供应链安全情报中心在NPM官方仓库和Pypi官方仓库上共捕获772个不同版本的恶意组件包
博客
供应链投毒预警:恶意Py包伪装HTTP组件开展CStealer窃密后门攻击
05-10 844
近日(2024年4月25号),悬镜供应链安全情报中心在Pypi官方仓库(https://pypi.org/)中捕获1起CStealer窃密后门投毒事件,投毒者连续发布6个不同版本的恶意Py包multiplerequests,目标针对windows平台python开发者,该恶意包在安装时会远程加载CStealer后门到受害者系统上执行,该后门会窃取受害者系统敏感信息、主流浏览器隐私数据、数字货币钱包应用数据以及系统屏幕截屏等。此外,后门还会尝试驻留Windows系统启动目录实现开机自启动。截至目前,恶意。
博客
悬镜安全random:解密供应链安全情报的头号黑客
04-26 575
random被称为“最低调的悬镜头号黑客”。网络攻防对抗从来都是不确定的,“看得清,跟得上,防得住”是做供应链安全情报的重任所在。
博客
悬镜安全持续霸榜安全牛《中国网络安全全景图》供应链安全赛道
04-15 765
悬镜强势领跑安全牛《中国网络安全全景图》SCA、IAST、SAST、DevSecOps、应用安全监测(RASP)、开发流程安全管控等9项供应链安全全部细分领域。
博客
镜视界 | DevSecOps CI/CD 管道中数字供应链安全的集成策略
03-28 901
全球趋势洞察:NIST如何将数字供应链安全保证措施集成到 CI/CD 管道中以保护底层活动完整性。
博客
供应链投毒预警 | 开源供应链投毒202402月报发布啦
03-18 1321
悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方式对潜在风险的开源组件包进行动态跟踪和捕获,发现大量的开源组件恶意包投毒攻击事件。在2024年2月份,悬镜供应链安全情报中心在NPM官方仓库(https://www.npmjs.com)和Pypi官方仓库(https://pypi.org)共捕获503个不同版本的恶意组件包,其中NPM仓库投毒占比89.46%, Pypi仓库投毒占比10.54%,NPM仓库依旧是开源组件包投毒的重灾区。
博客
供应链投毒预警 | 恶意Py组件tohoku-tus-iot-automation开展窃密木马投毒攻击
03-18 1037
上周(2024年3月6号),悬镜供应链安全情报中心在Pypi官方仓库(https://pypi.org/)中捕获1起新的Py包投毒事件,Python组件tohoku-tus-iot-automation从3月6号开始连续发布6个不同版本恶意包,其中多个版本恶意代码使用PyArmor进行加密混淆保护,这些恶意包主要针对Windows平台的Python开发者,除了会窃取系统基础信息和主流浏览器(Edge、Chrome)用户密码数据,还会远程下载木马程序植入到开发者系统中盗取系统密码。
博客
供应链高危漏洞披露 | Winmail邮件系统曝出存储型XSS漏洞
03-08 819
Winmail是一款功能丰富的邮件服务器软件,支持 Windows 和 Linux 平台,可适配国产化信创平台,具备SMTP、POP3、IMAP、Webmail、邮件归档、Web管理、邮件网关、防毒杀毒、短信提醒、网络硬盘等功能。
博客
SCA 技术进阶系列(五): 揭秘运行时SCA - 新视角下的供应链安全革新
03-01 1145
运行时SCA凭借精准识别数字应用运行加载时真正使用到的第三方组件及依赖,在应用测试和上线运营场景有着更广泛的应用场景。
博客
SCA技术进阶系列(四):DSDX SBOM供应链安全应用实践
12-01 1512
SBOM是保护软件供应链的关键部分,也是漏洞匹配和管理的基础。对于企业而言,SBOM是软件供应链治理中很重要的基础数据,能够帮助企业实现依赖治理、漏洞管理和开源许可证合规。SBOM背后靠的是SCA和知识库数据的支撑,想要充分发挥SBOM的作用,应该将生成工具和尽可能多的研发流程打通,做到实时更新SBOM清单,并和全面的知识库订阅数据进行实时动态关联。随着软件消费者会使用到各类供应商提供的软件产品,这些产品通常以二进制的形式交付,相比源码识别的效果覆盖率会更低,存在的风险更难识别。
博客
影响力|子芽首创代码疫苗技术获评“年度技术突破者”
11-16 129
子芽,悬镜安全创始人兼CEO,《DevSecOps敏捷安全》作者,OpenSCA开源社区创始人,DSO和DSS大会执行主席,中国信通院软件供应链安全社区首席专家,腾讯TVP技术专家,ISC互联网安全大会十周年代表性人物,长期从事AI深度学习在应用敏捷安全领域持续威胁评估方向的探索研究,拥有多项原创发明专利授权,并多次承担国家级重大网络安全项目和科研项目。该技术不仅减轻了多探针运维的压力,还在应用中植入了安全的“疫苗”,实现并推动应用与安全的共生。
博客
深度解密 | 灵脉SAST 3.0最新特性曝光
11-10 190
灵脉SAST白盒代码审计平台是悬镜自主研发的下一代静态应用安全测试(SAST)解决方案,作为悬镜DevSecOps智适应威胁管理体系中的新型威胁发现平台,灵脉SAST3.0核心引擎运用改进的数据流、控制流分析、符号执行、抽象解释执行等技术,高效精准地检测出代码中的质量缺陷和安全缺陷,帮助开发人员在软件研发早期发现并修复缺陷,真正实现安全左移,降低软件风险及缺陷修复成本,提升企业代码安全治理能力。悬镜灵脉SAST是落地实践安全左移的基石,是敏捷安全工具链中的核心关键环节。
博客
重磅来袭 | 2023数字供应链安全大会邀请函(DSS 2023)
07-25 202
诚邀您参加DSS 2023大会,共同见证这场全球瞩目的数字供应链安全盛会
博客
SCA技术进阶系列(二):代码同源检测技术在供应链安全治理中的应用
04-21 647
码同源检测是基于源代码文件的维度面向源代码进行成分分析,主要用于代码溯源分析、代码已知漏洞分析、恶意代码文件等
博客
【无标题】
03-27 447
在软件供应链安全风险治理方面,RASP能够为现代数字化应用提供积极防御的能力,是现代数字化应用安全的最优选择。
博客
IAST技术进阶系列(六):API安全治理与防护初探
03-27 588
本文以IAST代码疫苗技术为抓手,深入讨论IAST技术在API安全方面的应用。
博客
SCA技术进阶系列(一):SBOM应用实践初探
01-31 564
软件组成成分的透明性成为软件供应链安全保障的基础,SBOM软件物料清单作为软件供应链安全治理的重要抓手,其在行业的应用实践速度明显加快。
博客
RASP技术进阶系列(三):重大漏洞自动化热修复
01-31 478
本篇主要介绍在应急响应过程中RASP如何加快工作流程并为重大漏洞紧急修复争取宝贵时间。
博客
DevSecOps敏捷安全技术金字塔V3.0正式发布
01-31 533
刷新了行业力量对软件供应链安全体系建设的新认知,全方位、系统性、深层次地把脉了DevSecOps敏捷安全技术的未来演进趋势、软件供应链安全领域技术创新研究和落地实践的进化方向
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值