11.10.2018 15:29 | Bezpečnosť

Vážna zraniteľnosť vo WhatsApp: Stačí prijať hovor a hackeri ovládnu váš účet

V aplikácií WhatsApp našli výskumníci vážnu chybu
V aplikácií WhatsApp našli výskumníci vážnu chybu Zdroj: Ján Trangel

Chyba už bola opravená, no s aktualizáciou neváhajte. Výskumníci totiž zverejnili aj technické podrobnosti, vrátane funkčného konceptu.

Aplikácie pre Android a iOS populárnej komunikačnej služby WhatsApp obsahovali mimoriadne vážnu bezpečnostnú slabinu. Pre jej zneužitie totiž stačilo, aby nič netušiaci používateľ prijal záškodnícky videohovor. Hackeri by následne mohli získať prístup k tajným konverzáciám či ovládnuť účet obete.

Bližšie informácie o hrozbe zverejnil portál Engadget.

Hackerom stačí vaše telefónne číslo

Platforma WhatsApp je známa predovšetkým svojou snahou o vytvorenie dokonale zabezpečenej komunikačnej aplikácie. Svojich priaznivcov si okrem iného získala aj implementovaním takzvaného end-to-end šifrovania, ktoré zaručuje, že sa k obsahu správ nedostane tretia osoba. Avšak ani silné šifrovanie nemusí vždy zaručiť súkromie.

Dôkazom je aj najnovšia zraniteľnosť, ktorú odhalila bezpečnostná výskumníčka Natalie Silvanovich z Google Project Zero. Jadrom problému je chybná implementácia protokolu RTP v mobilnej aplikácii WhatsApp. Protokol RTP (Real-time Transport Protocol) slúži na prenos videa a zvuku cez internet.

Pre zneužitie chyby je nutné, aby útočník odoslal špeciálne pripravený RTP paket. Po jeho prijatí dôjde k takzvanému pretečeniu pamäte, ktoré sa dá zneužiť na spustenie ľubovoľného kódu v rámci aplikácie. Ako uviedol počítačový expert Tavis Ormandy z Google, hackeri by uvedeným spôsobom mohli prevziať kontrolu nad účtom obete a tým získať prístup k tajným konverzáciám.

Inými slovami, stačí prijať hovor od neznámej osoby a hackeri môžu v momente získať kontrolu nad vašim účtom.

Chybu už opravili

Uvedená zraniteľnosť sa týka iba aplikácie WhatsApp určenej pre mobilné operačné systémy Android a iOS. Webový klient chybu neobsahuje, keďže pre videohovory využíva open-source projekt WebRTC.

Vývojári platformy WhatsApp boli na chybu riadne upozornení ešte koncom augusta. Následne, 28. septembra bola uvoľnená opravená verzia pre Android a 3. októbra sa záplaty dočkala aj verzia pre iOS.

Dobrou správou je, že v súčasnosti neexistujú žiadne dôkazy o aktívnom zneužívaní tejto slabiny. Bezpečnostní výskumníci však pred pár dňami uvoľnili detailné technické podrobnosti, vrátane funkčného konceptu. Všetkým preto dôrazne odporúčame skontrolovať, či sa v zariadení nachádza najnovšia verzia aplikácie WhatsApp a keď nie, čo najskôr ju aktualizovať.

Diskusia 4 Príspevkov