it-swarm.dev

Un datore di lavoro può accedere ai messaggi di Whatsapp se si utilizzano i propri server?

Qualcuno sa se un datore di lavoro può accedere ai messaggi di Whatsapp se si utilizzano i loro server? Sembra che Whatsapp affermi che i messaggi sono crittografati, ma non ne sono sicuro.

10
secunda

Il seguente documento di ricerca descrive quattro attacchi a WhatsApp. Non so se sono stati corretti.

Attacco di rappresentazione. Un attacco consente a un utente malintenzionato di impersonare qualcun altro. In particolare, se l'attaccante ha in mente un determinato numero di telefono (il numero di telefono della vittima), l'attaccante può registrarsi per quel numero di telefono e ricevere tutti i messaggi di WhatsApp che potrebbero essere stati destinati a quel numero di telefono. Vedere la sezione 5.2 del documento.

Questo può essere rilevante per te.

Attacco di spam SMS. Un secondo attacco consente a un utente malintenzionato di inviare messaggi di testo arbitrari a chiunque in tutto il mondo, gratuitamente, dai server WhatsApp. Vedere la sezione 5.4 del documento.

Attacco con enumerazione del numero di telefono. Un terzo attacco consente a un utente malintenzionato di enumerare i numeri di telefono di altri utenti di WhatsApp e identificare il sistema operativo che stanno utilizzando. Vedere la sezione 5.5 del documento.

Attacco di falsificazione del messaggio di stato. Un quarto attacco consente a un utente malintenzionato di modificare qualsiasi messaggio di stato di qualsiasi altro utente di WhatsApp in qualsiasi scelta dell'aggressore. Vedere la sezione 5.6 del documento.

Implicazioni. Nessuna di queste risponde direttamente alla domanda particolare che hai posto. Tuttavia, queste vulnerabilità diminuiscono la mia fiducia nella sicurezza di WhatsApp.

Le vulnerabilità descritte nel documento sono difetti estremamente elementari ed elementari. Stiamo parlando del territorio frontale. I difetti includono, ad esempio, una completa mancanza di controllo di accesso o autenticazione; così come la fiducia inappropriata nel cliente. (Fondamentalmente, violazioni di OWASP A3, A8 e A9). Ovviamente, chiunque può commettere errori, ma questi sono errori di base che mi fanno chiedermi quali errori potrebbero aver commesso gli sviluppatori di WhatsApp altro e cosa c'è di sbagliato nel processo di revisione della sicurezza di WhatsApp che questi sono passati alla distribuzione.

Quindi, sulla base di questa analisi, sarei riluttante a fare troppo affidamento sulla sicurezza di WhatsApp.

14
D.W.

Questo articolo considera la crittografia di Whatsapp troppo debole e manca la gestione dei problemi di sicurezza dell'azienda:

http://www.h-online.com/security/news/item/Account-theft-still-possible-with-latest-WhatsApp-1760639.html

Questo articolo afferma che l'autenticazione del mittente è ora più solida, ma permangono problemi di privacy:

http://countermeasures.trendmicro.eu/whatsapp-in-violation-of-privacy-law/

1
nicko

WhatsApp è un sistema di messaggistica abbastanza popolare secondo i media:

WhatsApp gestisce dieci miliardi di messaggi al giorno ad agosto 2012

Financial Times : WhatsApp "ha fatto a SMS sui telefoni cellulari ciò che Skype ha fatto alle chiamate internazionali su rete fissa.

Supporta la crittografia e sebbene abbia un numero di incidenti di sicurezza , mi aspetto che la sicurezza sia elevata e incidenti simili a quelli sopra siano transitori e gestiti dalla società.

C'è un caso speciale in cui i tuoi messaggi potrebbero essere a rischio. Cioè se il tuo telefono o computer su cui stai utilizzando WhatsApp è amministrato dal tuo datore di lavoro . Quindi, se hai uno smartphone fornito dal tuo datore di lavoro, i tuoi messaggi potrebbero essere intercettati .

In conclusione, penso che la privacy del messaggio di Whatsapp sia degna di fiducia. Dovresti preoccuparti di più della sicurezza del tuo telefono. Android non sono particolarmente aggiornati con le patch.

1
Cristian Dobre

Fai il seguente test sul tuo dispositivo mobile e almeno puoi essere sicuro che il tuo dispositivo non può essere monitorato in questo modo.

  1. vai a https://www.google.com
  2. Fai clic sul blocco https nel browser

Example Screenshot

Se rilasciato a è Google Internet Authority G2 , allora https è non penetrato o MITMA (Man In The Middle Attack) impiegato. Se esiste un altro nome come il nome della tua azienda, è possibile che possano penetrare nel traffico https.

0
Vivo