กลุ่มนักวิจัยจากมหาวิทยาลัยโบคุม ประเทศเยอรมัน ได้พบช่องโหว่บนแอพส่งข้อความชื่อดัง WhatsApp พร้อมๆ กับแอพอื่นที่คล้ายกันอย่าง Signal และ Threema ที่ทำให้สามารถแอบเข้ามาส่องดูข้อความในห้องรวมหรือ Group Chat โดยไม่ต้องรอการกดอนุญาตจากแอดมินเจ้าของห้องแชทแต่อย่างใด
ช่องโหว่นี้ถูกเปิดเผยในงานประชุมด้านความปลอดภัย Real World Cryptoที่ซูริก สวิสเซอร์แลนด์ เมื่อวันพุธที่ผ่านมา ซึ่งอธิบายว่าเป็นช่องโหว่ในกระบวนการเข้ารหัสของกรุ๊ปแชทซึ่งจากทั้งสามแอพข้างต้นนั้น กรณีของ WhatsApp ดูร้ายแรงที่สุด เนื่องจากทำให้สามารถเข้าควบคุมเซิร์ฟเวอร์ของ WhatsApp เพื่อทำอย่างอื่นในห้องรวมได้ด้วย เช่น เพิ่มบุคคลใหม่เข้ากลุ่ม
สาเหตุของช่องโหว่นี้เป็นเพราะ WhatsApp ไม่ได้ใช้กระบวนการยืนยันตนใดๆ ตอนที่แอดมินห้องรวมเพิ่มสมาชิกใหม่เข้ากลุ่ม และแม้ว่าสมาชิกใหม่ที่ลอบเข้ามาเงียบๆ นี้จะไม่สามารถย้อนดูข้อความเก่าก่อนหน้าได้ก็ตาม แต่ก็มีอำนาจในการควบคุมและกดลบข้อความในกลุ่มได้ตามต้องการจากเซิร์ฟเวอร์โดยตรง
ทั้งนี้ ทาง WhatsApp ได้ออกมายอมรับถึงช่องโหว่นี้ และกล่าวว่าได้ตั้งค่าให้เวลาที่มีการเพิ่มสมาชิกใหม่ที่ไม่รู้จักทุกครั้ง จะมีการแจ้งเตือนไปยังแอดมินของห้องแชทรวม และสมาชิกทุกคนทุกครั้ง ส่วนทางฝั่งนักวิจัยยังคงรอการปรับปรุงโปรโตคอลความปลอดภัยสำหรับห้องแชทรวมอย่างถาวร เพราะตนเองทดลองแค่กับ 3 แอพข้างต้นเท่านั้น คาดว่าอาจจะมีช่องโหว่ลักษณะเดียวกันกับแอพส่งข้อความอื่นๆ อีก
ที่มา : Hackread