Сегодня мы узнали о важной уязвимости в системе безопасности WhatsApp, которая может привести к утечке вашего IP-адреса. У WhatsApp на протяжении всей истории были серьезные недостатки в безопасности. Одна из самых важных была связана с пропущенными звонками. Просто получив пропущенный звонок, кто угодно мог украсть чаты и изображения с нашего мобильного телефона. Теперь новая уязвимость безопасности раскрывает IP-адрес пользователя.
Ошибка была обнаружена пользователем по имени bhdresh, который даже создал доказательство концепции, в которой он демонстрирует, как работает уязвимость и как ее можно использовать для получения IP-адреса человека, просто позвонив через приложение.
Любой желающий может узнать ваш IP-адрес через WhatsApp с этим недостатком безопасности
Недостаток безопасности работает даже в последней версии приложения. Для этого сначала необходимо настроить скрипт, который может считывать трафик при совершении звонка или видеозвонка в приложении. После этого приложение отправителя пытается установить соединение с IP-адресом получателя. Путем фильтрации IP-адреса сервера Facebook и WhatsApp получателя можно раскрыть их IP-адрес без ведома пользователя.
С помощью этого метода пользователи могут узнать общедоступные IP-адреса, чтобы узнать приблизительное местоположение этих пользователей и, таким образом, иметь возможность отслеживать их перемещения, создавая историю местоположений.
Для проведения атаки необходимо, прежде всего, чтобы смартфон и компьютер были подключены к одной сети Wi-Fi.
После этого остается только позвонить любому пользователю WhatsApp. Между обеими сторонами должен быть установлен вызов, а затем мы можем повесить трубку, поскольку сценарий уже покажет IP-адрес получателя.
Facebook говорит, что не исправит
Пользователь, обнаруживший эту уязвимость, сообщил об ошибке в Facebook 14 октября 2020 года, но в соцсети заявили, что это ожидаемая операция, и патчить нечего, поэтому они не собирались давать вознаграждение. Единственный совет, который они дали, – использовать VPN, если они не хотят утечки своего IP-адреса.
В марте 2021 года Signal представила механизм перенаправления вызовов через сервер, чтобы скрыть реальный IP-адрес получателя. Итак, bhdresh снова спросил Facebook, могут ли они реализовать что-то подобное, и они сказали нет, что текущая реализация работает без проблем. Таким образом, наш IP-адрес может быть передан любому, кто нам звонит, поэтому единственное решение – использовать VPN.