ทีมนักวิจัยได้รวบรวมรายการเบอร์โทรศัพท์มือถือของผู้ใช้ WhatsApp จำนวน 3.5 พันล้านหมายเลข พร้อมข้อมูลส่วนตัวที่เกี่ยวข้อง โดยอาศัยช่องโหว่จาก API สำหรับค้นหารายชื่อผู้ติดต่อที่ไม่มีระบบจำกัดจำนวนการเรียกใช้งาน (more…)

ผู้ไม่หวังดีกำลังโจมตีโดยใช้ช่องโหว่ zero-day ในไลบรารีการประมวลผลรูปภาพบนระบบ Android ของ Samsung เพื่อแพร่กระจาย Spyware ที่ยังไม่เคยถูกพบมาก่อนชื่อ 'LandFall' โดยใช้รูปภาพอันตรายที่ส่งผ่านทาง WhatsApp

ช่องโหว่ด้านความปลอดภัยดังกล่าวได้รับการแก้ไขแล้วในเดือนเมษายนที่ผ่านมา แต่นักวิจัยพบหลักฐานว่าผู้ไม่หวังดีได้เริ่มใช้ LandFall มาตั้งแต่เดือนกรกฎาคม 2024 เป็นอย่างน้อย และมุ่งเป้าไปที่ผู้ใช้ Samsung Galaxy บางรายในแถบตะวันออกกลาง

ช่องโหว่ zero-day ดังกล่าวมีหมายเลข CVE-2025-21042 ซึ่งเป็นช่องโหว่ประเภท "out-of-bounds write" ในไลบรารี libimagecodec.

WhatsApp เปิดตัวการสำรองข้อมูลแบบ passkey-encrypted สำหรับอุปกรณ์ iOS และ Android ซึ่งช่วยให้ผู้ใช้งานสามารถเข้ารหัสประวัติการแชทของตนโดยใช้ลายนิ้วมือ, สแกนใบหน้า หรือรหัสล็อกหน้าจอ

Passkeys เป็นวิธีการยืนยันตัวตนแบบไม่ต้องใช้รหัส ช่วยให้ผู้ใช้งาน sign in เข้าใช้โดยใช้ข้อมูลไบโอเมตริก (เช่น การจดจำใบหน้า หรือลายนิ้วมือ), PIN หรือรูปแบบความปลอดภัย แทนรหัสผ่านแบบเดิม โดยช่วยให้สามารถล็อกอินเข้าสู่เว็บไซต์ บริการออนไลน์ หรือแอปต่าง ๆ ได้โดยไม่จำเป็นต้องจำรหัสผ่านที่ซับซ้อน หรือใช้โปรแกรมจัดการรหัสผ่าน

เมื่อสร้าง Passkeys อุปกรณ์ของผู้ใช้งานจะสร้าง cryptographic key pair ที่ไม่ซ้ำกัน ซึ่งประกอบด้วย private key ที่จัดเก็บไว้ในอุปกรณ์ และ public key ที่ส่งไปยังเว็บไซต์ หรือแอปฯ ด้วยเหตุนี้ Passkeys จึงให้ความปลอดภัยที่สูงกว่าการยืนยันตัวตนแบบทั่วไปอย่างมาก เนื่องจากไม่สามารถถูกขโมยจากเหตุการณ์ข้อมูลรั่วไหลได้ เพราะ private key จะไม่หลุดออกจากอุปกรณ์ของผู้ใช้งานเลย

WhatsApp ระบุว่า "Passkeys จะช่วยให้ผู้ใช้งานใช้ลายนิ้วมือ, สแกนใบหน้า หรือรหัสล็อกหน้าจอเพื่อ encrypt การสำรองข้อมูลแชทแทนที่จะต้องจดจำรหัสผ่าน หรือ 64-digit encryption key ที่ยุ่งยาก"

"ตอนนี้ เพียงแค่แตะ หรือสแกนหน้า ความปลอดภัยแบบเดียวกับที่ปกป้องแชทส่วนตัว และการโทรของผู้ใช้งานบน WhatsApp ก็จะถูกนำไปใช้กับการสำรองข้อมูลแชท เพื่อให้ข้อมูลเหล่านั้นปลอดภัย เข้าถึงได้ และเป็นส่วนตัวอยู่เสมอ"

ในการเริ่มต้น ให้เปิดใช้งานฟีเจอร์ความปลอดภัยนี้โดยไปที่ การตั้งค่า WhatsApp จากนั้นเลือก Chats > Chat backup  > End-to-end encrypted backup

Meta ได้เริ่มทยอยเปิดตัวฟีเจอร์นี้ทั่วโลก โดยคาดว่าจะทยอยเปิดตัวให้ผู้ใช้ทุกคนได้ใช้งานในอีกไม่กี่สัปดาห์ และเดือนข้างหน้า

WhatsApp ได้เปิดตัวการสำรองข้อมูล end-to-end encrypted (E2EE) บน iOS และ Android เมื่อ 4 ปีก่อนในเดือนตุลาคม 2021 ซึ่งช่วยให้ผู้ใช้ iOS สามารถจัดเก็บข้อมูลสำรองไว้บน iCloud และผู้ใช้ Android สามารถจัดเก็บไว้บน Google Drive ได้

เมื่อเปิดใช้งานแล้ว การสำรองข้อมูลแชท E2EE จะช่วยให้ผู้ใช้ WhatsApp สามารถกู้คืนข้อความบนอุปกรณ์ใดก็ได้ หากมีรหัสผ่าน หรือ Passkeys ที่ใช้ในการ encrypt ข้อมูล

เมื่อหนึ่งปีที่แล้ว WhatsApp ยังได้เริ่ม encrypt ฐานข้อมูลผู้ติดต่อเพื่อการซิงโครไนซ์ที่รักษาความเป็นส่วนตัว เมื่อสัปดาห์ที่แล้ว ก็ได้เพิ่มเครื่องมือใหม่เพื่อช่วยผู้ใช้ป้องกันตนเองจากการหลอกลวงที่อาจเกิดขึ้น

ที่มา : bleepingcomputer

Meta เปิดตัวเครื่องมือใหม่บน WhatsApp และ Messenger เพื่อช่วยให้ผู้ใช้งานสามารถป้องกันตัวจากมิจฉาชีพ และเพิ่มความปลอดภัยให้กับบัญชีของตน

(more…)

Spyware บน Android ตัวใหม่ชื่อว่า ClayRat กำลังหลอกล่อเหยื่อที่เป็นเป้าหมาย โดยปลอมตัวเป็นแอปพลิเคชัน และบริการยอดนิยมหลายรายการ เช่น WhatsApp, Google Photos, TikTok และ YouTube

(more…)

WhatsApp ได้ออกแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยในแอปพลิเคชันส่งข้อความสำหรับ iOS และ macOS หลังจากพบว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีจริงแบบ Zero-Day ที่มีการกำหนดเป้าหมายโดยเฉพาะ

ทาง WhatsApp ระบุว่า ช่องโหว่แบบ Zero-click นี้ มีหมายเลข CVE-2025-55177 ซึ่งส่งผลกระทบต่อ WhatsApp ในเวอร์ชันดังต่อไปนี้ :

WhatsApp สำหรับ iOS เวอร์ชันก่อน 2.25.21.73
WhatsApp Business สำหรับ iOS เวอร์ชันก่อน 2.25.21.78
WhatsApp สำหรับ Mac เวอร์ชันก่อน 2.25.21.78

WhatsApp ระบุในประกาศด้านความปลอดภัยเมื่อวันศุกร์ที่ผ่านมาว่า "การยืนยันตัวตนที่ไม่สมบูรณ์ของข้อความที่ใช้ synchronization ข้อมูลระหว่างอุปกรณ์ที่เชื่อมต่อกัน อาจทำให้ผู้ใช้งานที่ไม่เกี่ยวข้องสามารถสั่งให้อุปกรณ์ของเป้าหมายประมวลผลเนื้อหาจาก URL ใด ๆ ก็ได้"

"เราประเมินว่าช่องโหว่ดังกล่าว เมื่อทำงานร่วมกับช่องโหว่แบบ OS-level บนแพลตฟอร์มของ Apple (CVE-2025-43300) อาจถูกนำไปใช้ในการโจมตีที่มีความซับซ้อนสูงเพื่อโจมตีผู้ใช้งานที่เป็นเป้าหมายโดยเฉพาะ"

เมื่อช่วงต้นเดือนที่ผ่านมา ทาง Apple ก็ได้ออกแพตช์อัปเดตฉุกเฉินเพื่อแก้ไขช่องโหว่แบบ Zero-day (CVE-2025-43300) พร้อมทั้งระบุด้วยว่าช่องโหว่ดังกล่าวกำลังถูกนำไปใช้ในการโจมตีที่มีความซับซ้อนขั้นสูงเป็นพิเศษ

แม้ว่าทั้งสองบริษัทยังไม่ได้เปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับการโจมตี แต่ Donncha Ó Cearbhaill (หัวหน้าห้องแล็บด้านความปลอดภัยของ Amnesty International) เปิดเผยว่า WhatsApp เพิ่งได้แจ้งเตือนผู้ใช้บางรายว่าพวกเขาตกเป็นเป้าหมายของแคมเปญ spyware ขั้นสูงในช่วง 90 วันที่ผ่านมา

ข้อความในคำเตือนระบุว่า “เราได้ทำการปรับปรุงแก้ไขเพื่อป้องกันไม่ให้การโจมตีลักษณะนี้เกิดขึ้นผ่านทาง WhatsApp ได้อีก อย่างไรก็ตาม ระบบปฏิบัติการของอุปกรณ์ของคุณอาจยังคงถูกโจมตีจากมัลแวร์ หรืออาจตกเป็นเป้าหมายการโจมตีในรูปแบบอื่นได้"

ในการแจ้งเตือนภัยคุกคามที่ส่งไปยังผู้ที่อาจได้รับผลกระทบ ทาง WhatsApp ได้แนะนำให้พวกเขาทำการรีเซ็ตอุปกรณ์กลับไปเป็นค่าเริ่มต้นจากโรงงาน (factory reset) และให้อัปเดตระบบปฏิบัติการ และซอฟต์แวร์ของอุปกรณ์ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ

เมื่อเดือนมีนาคมที่ผ่านมา WhatsApp ได้ออกแพตช์แก้ไขช่องโหว่แบบ Zero-day อีกรายการหนึ่ง ที่ถูกใช้เพื่อติดตั้ง Graphite spyware ของบริษัท Paragon โดยการแก้ไขดังกล่าวเกิดขึ้นหลังจากที่ได้รับรายงานจากนักวิจัยด้านความปลอดภัยของ Citizen Lab มหาวิทยาลัย Toronto's

ในเวลานั้น โฆษกของ WhatsApp ได้แจ้งกับ BleepingComputer โดยระบุว่า "WhatsApp ได้ขัดขวางแคมเปญ Spyware ของ Paragon ที่มุ่งเป้าโจมตีผู้ใช้จำนวนหนึ่ง ซึ่งรวมถึงนักข่าว และสมาชิกภาคประชาสังคม โดยได้ติดต่อโดยตรงไปยังผู้ที่เชื่อว่าได้รับผลกระทบแล้ว"

 

ที่มา : bleepingcomputer.

มีการค้นพบแพ็กเกจ NPM อันตราย 2 รายการที่ปลอมเป็นเครื่องมือสำหรับพัฒนา WhatsApp โดยมีการแฝงโค้ดลบข้อมูลที่จะลบไฟล์ทั้งหมดบนคอมพิวเตอร์ของนักพัฒนา

จากการค้นพบของนักวิจัยจากบริษัท Socket ระบุว่า แพ็กเกจเหล่านี้ปลอมตัวเป็นไลบรารี socket ของ WhatsApp และถูกดาวน์โหลดไปแล้วมากกว่า 1,100 ครั้ง นับตั้งแต่ถูกเผยแพร่เมื่อเดือนกรกฏาคมที่ผ่านมา

แม้ว่าทาง Socket จะได้ยื่นเรื่องขอให้นำแพ็คเกจออก และแจ้งเตือนไปยังผู้เผยแพร่ที่ชื่อ nayflore แล้ว แต่ปัจจุบันทั้งแพ็คเกจ และบัญชีผู้เผยแพร่ก็ยังคงอยู่ในระบบ

แพ็คเกจอันตรายทั้ง 2 รายการนี้มีชื่อว่า naya-flore และ nvlore-hsc อย่างไรก็ตาม บัญชีผู้เผยแพร่รายเดียวกันนี้ยังได้ส่งแพ็คเกจอื่น ๆ เข้ามาใน NPM อีกหลายตัว เช่น nouku-search, very-nay, naya-clone, node-smsk และ @veryflore/disc

แม้ว่าแพ็คเกจเพิ่มเติมอีก 5 รายการนี้จะยังไม่มีพฤติกรรมที่เป็นอันตรายในปัจจุบัน แต่ก็ขอแนะนำให้ใช้ความระมัดระวังอย่างยิ่ง เนื่องจากอาจมีการอัปเดตที่แฝงโค้ดอันตรายเข้ามาได้ทุกเมื่อ

แพ็คเกจทั้งหมดนี้ทำขึ้นเพื่อลอกเลียนแบบไลบรารีสำหรับนักพัฒนา WhatsApp ของจริง ซึ่งใช้ในการสร้างบอท และเครื่องมืออัตโนมัติที่ทำงานร่วมกับ WhatsApp Business API

Socket ระบุว่า ไลบรารีเหล่านี้กำลังเป็นที่ต้องการเพิ่มขึ้นอย่างมากในช่วงหลัง เนื่องจากมีธุรกิจจำนวนมากขึ้นที่หันมาใช้ Cloud API ของ WhatsApp เพื่อสื่อสารกับลูกค้า

โค้ดลบข้อมูล

ทั้งแพ็คเกจ naya-flore และ nvlore-hs มีฟังก์ชันที่ชื่อว่า 'requestPairingCode' ซึ่งปกติควรจะทำหน้าที่จัดการการ pairing ของ WhatsApp แต่กลับไปดึงไฟล์ JSON ที่ถูกเข้ารหัสแบบ Base64 มาจาก GitHub แทน

ภายในไฟล์ JSON ดังกล่าวมีรายชื่อหมายเลขโทรศัพท์ของอินโดนีเซียที่ทำหน้าที่เป็น "kill switch" เพื่อยกเว้นไม่ให้ผู้ที่ใช้หมายเลขเหล่านี้ได้รับผลกระทบจากฟังก์ชั่นอันตราย

สำหรับเหยื่อรายอื่น (ที่เป็นเป้าหมายจริง) โค้ดจะรันคำสั่ง rm -rf * ซึ่งจะไล่ลบไฟล์ทั้งหมดในไดเรกทอรีปัจจุบัน ส่งผลให้โค้ดในระบบของนักพัฒนาถูกลบหายไปอย่างสิ้นเชิง

Socket ยังค้นพบฟังก์ชันสำหรับขโมยข้อมูลที่ชื่อว่า 'generateCreeds' ที่ยังไม่ถูกเปิดใช้งาน โดยมันสามารถขโมยข้อมูลของเหยื่อได้ เช่น หมายเลขโทรศัพท์, ID อุปกรณ์, สถานะ และ hardcoded key อย่างไรก็ตาม ฟังก์ชันนี้มีอยู่ในทั้ง 2 แพ็คเกจแต่ถูกปิดการทำงานเอาไว้ด้วยการใส่คอมเมนต์

Go ecosystem ก็ถูกโจมตีด้วยเช่นกัน

ในข่าวที่เกี่ยวเนื่องกัน Socket ยังได้ค้นพบแพ็คเกจ Go ที่เป็นอันตรายอีก 11 รายการ ที่ใช้เทคนิคการซ่อนโค้ดแบบ string-array เพื่อแอบเรียกใช้ payload จากระยะไกลแบบเงียบ ๆ ในขณะที่โปรแกรมกำลังทำงานอยู่

แพ็กเกจเหล่านี้จะสร้าง shell process ขึ้นมา จากนั้นไปดาวน์โหลดสคริปต์ หรือไฟล์ executable ขั้นที่สองมาจากโดเมน .icu หรือ .tech แล้วรันในหน่วยความจำ โดยมุ่งเป้าโจมตีทั้ง Linux CI servers และ Windows workstations

แพ็คเกจส่วนใหญ่ใช้วิธี "typosquatting" ที่อาศัยความผิดพลาดในการพิมพ์ หรือความสับสนของนักพัฒนาเพื่อหลอกให้ดาวน์โหลดมาใช้งาน

รายชื่อแพ็คเกจที่เป็นอันตราย และตำแหน่งที่พบมีดังต่อไปนี้ :

github.

 

เมื่อวันที่ 06 พฤษภาคม 2025 คณะลูกขุนในศาลรัฐบาลกลางมีคำตัดสินให้ NSO Group ต้องจ่ายเงินค่าเสียหายเป็นจำนวนเงินประมาณ 168 ล้านดอลลาร์แก่ WhatsApp ซึ่งเป็นบริษัทในเครือของ Meta หลังจากที่ผู้พิพากษาศาลรัฐบาลกลางมีคำตัดสินเมื่อสี่เดือนก่อนว่าบริษัทอิสราเอลดังกล่าวละเมิดต่อกฎหมายสหรัฐฯ โดยใช้เซิร์ฟเวอร์ของ WhatsApp เพื่อติดตั้งสปายแวร์ Pegasus เพื่อโจมตีบุคคลมากกว่า 1,400 รายทั่วโลก (more…)

WhatsApp เปิดตัวฟีเจอร์ความเป็นส่วนตัวขั้นสูงในการแชท (Advanced Chat Privacy) ซึ่งจะช่วยให้ผู้ใช้งานสามารถบล็อกไม่ให้ผู้เข้าร่วมแชทแชร์เนื้อหาของการสนทนาในแชทแบบปกติ และแบบกลุ่มได้

WhatsApp ระบุว่า "การตั้งค่าใหม่นี้จะมีให้ใช้ทั้งในแชทส่วนตัว และแชทแบบกลุ่ม ซึ่งช่วยป้องกันไม่ให้ผู้อื่นนำเนื้อหาออกจาก WhatsApp ได้ ในกรณีที่คุณต้องการความเป็นส่วนตัวมากขึ้น"

ฟีเจอร์เสริมนี้ เมื่อเปิดใช้งานแล้ว จะป้องกันไม่ให้ผู้อื่นส่งออกแชท, ดาวน์โหลด media ลงบนโทรศัพท์แบบอัตโนมัติ หรือใช้ข้อความสำหรับฟีเจอร์ปัญญาประดิษฐ์ (AI) อย่างไรก็ตาม ผู้ใช้ยังสามารถจับภาพหน้าจอ หรือดาวน์โหลด media ด้วยตนเองได้อยู่

WhatsApp ระบุว่า ฟีเจอร์ดังกล่าวเหมาะสมที่สุดสำหรับการสนทนาที่มีข้อมูลสำคัญกับกลุ่มคนที่ผู้ใช้ไม่ได้รู้จักเป็นการส่วนตัว

WhatsApp ระบุเพิ่มเติมว่า ฟีเจอร์นี้กำลังทยอยเปิดให้ใช้งานสำหรับผู้ใช้งานที่ทำการอัปเดตแอปเป็นเวอร์ชันล่าสุดแล้ว

การเปิดเผยข้อมูลนี้เกิดขึ้นในขณะที่คณะกรรมาธิการยุโรปได้ปรับเงิน Meta จำนวน 200 ล้านยูโร (227 ล้านดอลลาร์สหรัฐ) จากการละเมิดกฎหมาย Digital Markets Act (DMA) โดยบังคับให้ผู้ใช้งานต้องเลือกระหว่าง "pay or consent" และไม่เสนอทางเลือกอื่นที่เท่าเทียมกันสำหรับผู้ที่ไม่ยินยอม

คณะกรรมาธิการระบุว่า โมเดลนี้ไม่เป็นไปตามข้อกำหนดของ DMA เนื่องจากไม่ได้ให้ทางเลือกที่ชัดเจนแก่ผู้ใช้งานในการเลือกใช้บริการที่ใช้ข้อมูลส่วนบุคคลน้อยลง แต่ยังคงมีคุณภาพเทียบเท่ากับบริการที่มี "personalised ads"

“Meta ยังไม่เปิดโอกาสให้ผู้ใช้งานสามารถใช้สิทธิ์ของตนในการให้ความยินยอมอย่างอิสระต่อการรวมข้อมูลส่วนตัวของตนได้”

EU ระบุว่า ขณะนี้กำลังพิจารณารูปแบบ personalized ads เวอร์ชันใหม่ที่ไม่ต้องเสียค่าใช้จ่าย ซึ่ง Meta อ้างว่า “มีการใช้ข้อมูลส่วนบุคคลน้อยลงในการแสดงโฆษณา”

นอกจากนี้ค่าปรับจำนวน 200 ล้านยูโรนี้ เป็นการลงโทษสำหรับช่วงระหว่างเดือนมีนาคม 2024 ซึ่งเป็นช่วงที่กฎหมาย DMA มีผลบังคับใช้ จนถึงเดือนพฤศจิกายน 2024 ซึ่งหมายความว่า Meta อาจต้องเผชิญบทลงโทษเพิ่มเติม หากระบบใหม่ของพวกเขายังคงละเมิดต่อข้อกำหนด

Meta ได้ตอบโต้ต่อคณะกรรมาธิการยุโรปโดยระบุว่า "คณะกรรมาธิการกำลังพยายามขัดขวางธุรกิจของบริษัทอเมริกันที่ประสบความสำเร็จ ในขณะที่อนุญาตให้บริษัทจีน และยุโรปดำเนินงานภายใต้มาตรฐานที่แตกต่างกัน"

Joel Kaplan, Chief Global Affairs Officer ของ Meta ระบุว่า "การจำกัดการโฆษณาแบบเฉพาะบุคคลอย่างไม่เป็นธรรม คณะกรรมาธิการยุโรปก็กำลังสร้างผลกระทบต่อธุรกิจ และเศรษฐกิจของยุโรปเองเช่นกัน"

 

ที่มา : thehackernews.

แพลตฟอร์มส่งข้อความ WhatsApp ได้เปิดตัว Identity Proof Linked Storage (IPLS) ซึ่งเป็นระบบจัดเก็บข้อมูลเข้ารหัสที่รักษาความเป็นส่วนตัวรูปแบบใหม่ ที่ได้รับการออกแบบมาสำหรับการจัดการรายชื่อผู้ติดต่อ

ระบบใหม่นี้ช่วยแก้ปัญหาสองประการที่ผู้ใช้ WhatsApp เผชิญมายาวนาน นั่นคือความเสี่ยงในการสูญเสียรายชื่อผู้ติดต่อหากทำโทรศัพท์หาย และไม่สามารถซิงค์ข้อมูลรายชื่อผู้ติดต่อระหว่างอุปกรณ์ต่าง ๆ ได้ ด้วย IPLS รายชื่อผู้ติดต่อของ WhatsApp จะเชื่อมโยงกับบัญชีแทนที่จะเป็นอุปกรณ์ ทำให้ผู้ใช้สามารถจัดการรายชื่อผู้ติดต่อได้อย่างง่ายดายระหว่างการเปลี่ยนอุปกรณ์

นอกจากนี้ IPLS ยังทำให้สามารถจัดการรายชื่อผู้ติดต่อที่แตกต่างกันสำหรับบัญชีต่าง ๆ หลายบัญชีบนอุปกรณ์เดียวกันได้ โดยแต่ละบัญชีได้รับการจัดการอย่างปลอดภัย และแยกออกจากบัญชีอื่น ๆ

ระบบเข้ารหัสที่ปลอดภัย

IPLS รักษาความปลอดภัยด้วยการผสมผสานการเข้ารหัส, ความโปร่งใสของคีย์ และการใช้โมดูลรักษาความปลอดภัยฮาร์ดแวร์ (HSM) และเมื่อเพิ่มผู้ติดต่อใหม่ ชื่อจะถูกเข้ารหัสโดยใช้คีย์เข้ารหัสแบบ symmetric ที่สร้างขึ้นบนอุปกรณ์ของผู้ใช้ และจัดเก็บไว้ใน Key Vault ป้องกันการเข้าถึงที่ใช้ HSM ของ WhatsApp

เมื่อผู้ใช้เข้าสู่ระบบในอุปกรณ์ใหม่ เซสชันที่ปลอดภัยโดยใช้ Key Vault ที่ใช้ HSM จะถูกสร้างขึ้นเพื่อดึงข้อมูลผู้ติดต่อใหม่โดยดำเนินการตรวจสอบสิทธิ์โดยใช้ keypair เข้ารหัสที่เชื่อมโยงกับบัญชีผู้ใช้ (สร้างขึ้นเมื่อลงทะเบียน)

IPLS รับประกันว่าข้อมูลผู้ติดต่อทั้งหมดได้รับการเข้ารหัสแบบ end-to-end ซึ่งหมายความว่าข้อมูลผู้ติดต่อได้รับการเข้ารหัสบนอุปกรณ์ของผู้ใช้ และยังคงได้รับการเข้ารหัสในขณะที่ข้อมูลเคลื่อนผ่านระบบของ WhatsApp ซึ่งป้องกันการดักจับระหว่างการส่ง หรือการเข้าถึงจากพนักงาน Meta ที่ไม่ปลอดภัย

WhatsApp ยังจับมือเป็นพันธมิตรกับ Cloudflare ในการตรวจสอบการดำเนินการเข้ารหัสโดย third-party ได้อย่างอิสระ โดยเฉพาะอย่างยิ่งเพื่อทำหน้าที่เป็นผู้รับประกันการอัปเดตใน Auditable Key Directory (AKD) โดย signing ในแต่ละแบบ และตรวจสอบว่าข้อมูลนั้นไม่ได้ถูกดัดแปลงใด ๆ

WhatsApp เผยแพร่หลักฐานความสอดคล้องที่ตรวจสอบได้สำหรับการอัปเดตไดเร็กทอรีหลัก ไปยังอินสแตนซ์ Amazon S3 ที่สามารถเข้าถึงได้จากสาธารณะ ช่วยให้ผู้ใช้งาน, นักวิจัย และผู้ตรวจสอบสามารถตรวจสอบความสมบูรณ์ของ AKD ได้อย่างอิสระ

ก่อนที่ IPLS และกลไกพื้นฐานจะถูกนำเสนอต่อสาธารณะ WhatsApp ได้ทำสัญญากับ NCC Group เพื่อทำการตรวจสอบความปลอดภัยในระบบใหม่

การค้นพบที่สำคัญที่สุดของการตรวจสอบดังกล่าวคือช่องโหว่ที่ทำให้สามารถปลอมแปลง HSM ของ Marvell และถอดรหัสข้อมูล secret key ของผู้ใช้ได้ ซึ่งอาจทำให้ข้อมูลเมตาของผู้ติดต่อส่วนตัวถูกเปิดเผย

WhatsApp แก้ไขปัญหานี้พร้อมกับช่องโหว่ 12 รายการที่ได้รับการประเมินว่ามีระดับความรุนแรงระดับต่ำจนถึงปานกลางในเดือนกันยายน 2024 ดังนั้นจึงไม่มีอยู่ในรุ่นสุดท้ายของ IPLS

ที่มา : bleepingcomputer.