Dalším lákadlem je, že aplikace je postavena na soukromí end-to-end šifrování (E2EE), ve kterém jsou soukromé klíče používané k zabezpečení zpráv uloženy v samotném zařízení. To by mělo znemožnit odposlouchávání soukromých zpráv, aniž byste měli k zařízení fyzický přístup nebo jej vzdáleně infikovali malwarem.
GhostPairing ukazuje, že útok sociálního inženýrství to může obejít. Zajímavé je, že ačkoli je stále možný, útok je méně praktický, když žádáte uživatele o spárování pomocí QR kódů. To nabízí určitou jistotu pro uživatele aplikací pro zasílání zpráv, jako je Signal, který umožňuje pouze požadavky na párování prostřednictvím QR kódů.
Obrana WhatsApp
Uživatelé mohou zkontrolovat, která zařízení jsou spárována přes WhatsApp Nastavení > Propojená zařízení. Zde se zobrazí odkaz na podvodné zařízení. Navzdory tomu, že má přístup k účtu WhatsApp uživatele, útočník nemůže zrušit přístup jeho zařízení, který musí být iniciován primárním zařízením. Dalším tipem je povolit dvoufázové ověření PIN. To nezabrání útočníkovi v přístupu ke zprávám, ale bude to znamenat, že nebude moci změnit primární e-mailovou adresu.
Zdroj: techadvisor.com
