Un datore di lavoro può accedere ai messaggi di Whatsapp se stai utilizzando i loro server?

Il seguente documento di ricerca descrive quattro attacchi su WhatsApp. Non so se sono stati risolti.

• Indovina chi ti sta mandando per posta? Valutazione della sicurezza delle applicazioni di messaggistica per smartphone .
  Sebastian Schrittwieser, Peter Fruhwirt, Peter Kieseberg, Manuel Leithner, Martin Mulazzani, Markus Huber, Edgar Weippl. NDSS 2012.

Attacco di furto d'identità. Un attacco consente a un utente malintenzionato di impersonare qualcun altro. In particolare, se l'attaccante ha in mente un particolare numero di telefono (il numero di telefono della vittima), l'aggressore può registrarsi per quel numero di telefono e ricevere tutti i messaggi di WhatsApp che potrebbero essere stati pensati per quel numero di telefono. Vedere la Sezione 5.2 del documento.

Questo potrebbe essere rilevante per te.

Attacco spam tramite SMS Un secondo attacco consente a un utente malintenzionato di inviare messaggi di testo arbitrari a chiunque nel mondo, gratuitamente, dai server WhatsApp. Vedere la sezione 5.4 del documento.

Attacco di enumerazione del numero di telefono. Un terzo attacco consente a un utente malintenzionato di enumerare i numeri di telefono di altri utenti di WhatsApp e identificare il sistema operativo che sta utilizzando. Vedere la sezione 5.5 del documento.

Attacco contraffatto del messaggio di stato. Un quarto attacco consente a un utente malintenzionato di modificare qualsiasi messaggio di stato di qualsiasi altro utente di WhatsApp su qualsiasi scelta effettuata dall'attaccante. Vedere la sezione 5.6 del documento.

implicazioni. Nessuno di questi affronta direttamente la particolare domanda che hai chiesto. Tuttavia, queste vulnerabilità diminuiscono la mia fiducia nella sicurezza di WhatsApp.

Le vulnerabilità descritte nel documento sono estremamente elementari ed elementari. Stiamo parlando del territorio di facepalm. I difetti includono, ad esempio, una completa mancanza di controllo degli accessi o autenticazione; così come la fiducia inappropriata nel cliente. (Fondamentalmente, OWASP A3, A8 e A9 violazioni.) Certo, chiunque può commettere errori, ma questi sono errori di base che mi fanno chiedere quali errori altri potrebbero aver fatto gli sviluppatori di WhatsApp e cosa c'è di sbagliato nel processo di revisione della sicurezza di WhatsApp che è sfuggito a distribuzione.

Quindi, basandomi su questa analisi, sarei riluttante a fare troppo affidamento sulla sicurezza di WhatsApp.

WhatsApp è un sistema di messaggistica molto popolare secondo i media:

WhatsApp handles ten billion messages per day as of August 2012

Financial Times: WhatsApp "has done to SMS on mobile phones what Skype did to international calling on landlines.

Supporta la crittografia e sebbene abbia un numero di incidenti di sicurezza , mi aspetto che la sicurezza sia alta e incidenti simili a quelli di cui sopra per essere transitori e gestiti dalla società.

C'è un caso particolare in cui i tuoi messaggi potrebbero essere a rischio. Questo è se il tuo telefono o computer su cui stai usando WhatsApp è amministrato dal tuo datore di lavoro . Quindi se hai uno smartphone fornito dal tuo datore di lavoro, i tuoi messaggi potrebbero essere intercettati.

In conclusione, penso che la privacy dei messaggi di Whatsapp sia affidabile. Dovresti preoccuparti di più della sicurezza del tuo telefono. Gli smartphone Android non sono particolarmente aggiornati con le patch.

Questo articolo considera la crittografia di Whatsapp troppo debole e la gestione da parte dell'azienda dei problemi di sicurezza che mancano:

link

Questo articolo dice che l'autenticazione del mittente è ora più solida, ma i problemi di privacy persistono:

link

Effettua il seguente test sul tuo dispositivo mobile e almeno puoi essere certo che il tuo dispositivo non possa essere monitorato in quel modo.

1. vai al link
2. Fai clic sul blocco https nel browser

Se emesso è Google Internet Authority G2 allora https è non penetrato o MITMA (Man In The Middle Attack) impiegato. Se c'è un altro nome come il nome della tua azienda, allora è possibile che possano penetrare il traffico https.