Bezpečnost | WhatsApp | Telegram

Chyba v aplikacích WhatsApp a Telegram otevírá hackerům přístup k souborům

  • Symantec odhalil chybu v aplikacích WhatsApp a Telegram
  • Dovoluje útočníkům manipulovat s multimediálními soubory
  • Bezpečnostní díra překvapuje svou jednoduchostí
Chyba v aplikacích WhatsApp a Telegram otevírá hackerům přístup k souborům

Bezpečnostní experti ze Symantecu odhalili v pondělí 15. července informace o nové chybě, která může útočníkům zpřístupnit multimediální soubory, zaslané přes komunikační aplikace WhatsApp a Telegram pro Android. Hackeři se touto cestou mohou dostat například k osobním fotografiím nebo dokumentům.

Bezpečnostní díra, označovaná jako „Media File Jacking“, spočívá v tom, že uvedené aplikace ukládají přijaté soubory do paměti zařízení, aby je následně mohly zobrazit v uživatelském rozhraní. Obchází tak end-to-end šifrování, protože se k datům dostává až po jejich přijetí. Chyba ovlivňuje WhatsApp ve výchozím nastavení a Telegram, pokud jsou povoleny některé funkce.

Háček je v tom, že komunikátor WhatsApp používá k ukládání souborů primárně externí úložiště (u Telegramu je tato možnost volitelná), kam se mohou dostat i další aplikace, jež mají příslušné oprávnění. Podstatně bezpečnější by přitom bylo využívání interního úložiště, ke kterému má přístup jen příslušný program.

Až banálně jednoduchá chyba

Chyba překvapuje svou jednoduchostí, nicméně aby mohla fungovat, musí být na zdrojovém nebo cílovém zařízení nainstalován malware, jehož úkolem je získání příslušných souborů. Tato aplikace běží (bez vědomí uživatele) na pozadí a zneužívá objevenou bezpečnostní chybu.

Odborníci připravili video s názornou ukázkou, ve kterém odesílatel posílá kamarádovi svou aktuální fotografii přes WhatsApp. Ta je po přijetí příjemcem uložena do telefonu, kde s ní může škodlivá aplikace dále pracovat – například ji odeslat nebo upravit (zde konkrétně mění tváře na snímku). Škodlivá aplikace může podobným způsobem fungovat i na telefonu odesílatele.

Nebezpečí tohoto způsobu útoku spočívá v tom, jak velké množství uživatelů může postihnout. Komunikační aplikace WhatsApp a Telegram používají dohromady více než 1,5 miliardy lidí po celém světě. Symantec před publikací informoval o svém objevu obě dotčené společnosti – Facebook i Telegram, které se však zatím oficiálně nevyjádřily.

Významná rizika, spočívající v důvěře

Experti na bezpečnost varují především před tím, že při případném zneužití bezpečnostní díry mohou útočníci zneužít a manipulovat se soukromými informacemi. Problémem je, že zásah do soukromé komunikace nemusí uživatelé poznat, neboť si vzájemně důvěřují.

Klepněte pro větší obrázek 
Způsob útoku přes Media File Jacking

Možné scénáře útoku zahrnují například manipulaci s obsahem obrázků, úpravu platebních údajů na faktuře zaslané zákazníkovi či změnu obsahu hlasové zprávy s pomocí technologie hlubokého učení. Útočníci mohou tímto způsobem zasahovat nejen do komunikace mezi jednotlivci, ale také do skupinových chatů.

Je jasné, že žádný kód není imunní vůči zranitelnostem v zabezpečení. Zatímco šifrování typu end-to-end je účinným mechanismem pro zajištění integrity komunikace, nestačí, pokud v kódu existují chyby zabezpečení na úrovni aplikace jako takové.

Diskuze (7) Další článek: Americké firmy budou dál spolupracovat s Huawei, ledy mají povolit za dva až čtyři týdny

Témata článku: Bezpečnost, Facebook, WhatsApp, Instant Messaging, Telegram, Chat, Komunikace, Soubor, Díra, Hacker, Symantec, Bezpečnostní díra, Aplikace, Bez vědomí, Chyba, Whats, Multimediální soubor


Určitě si přečtěte

Český Turris MOX: Nejbláznivější síťový počítač nejen pro fanoušky Lega

Český Turris MOX: Nejbláznivější síťový počítač nejen pro fanoušky Lega

** CZ.NIC začal prodávat svůj Turris MOX ** Z několika základních jednotek postavíte skoro cokoliv ** Kompletní Wi-Fi router, rozsáhlý switch i univerzální linuxový server

Jakub Čížek | 32

Dnes nastal konec Windows 7. Ale nepropadejte panice, počítač vám nastartuje i zítra

Dnes nastal konec Windows 7. Ale nepropadejte panice, počítač vám nastartuje i zítra

** Dnes končí podpora Windows 7 a systém formálně umírá ** Co to ale znamená v praxi a bude mi PC fungovat i zítra? ** A mohu i v lednu 2020 zdarma přejít na Windows 10?

Jakub Čížek | 121

10 skrytých nastavení prohlížeče Google Chrome, která se můžou hodit

10 skrytých nastavení prohlížeče Google Chrome, která se můžou hodit

** Prohlížeč Google Chrome ukrývá mnoho zajímavých možností ** Našli jsme deset nejzajímavějších skrytých nastavení ** Můžete si například výrazně vylepšit práci s kartami

Karel Kilián | 18

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

** Do deseti tisíc korun lze dnes koupit slušné notebooky ** V nabídce ale i tak převládají zastaralé a pomalé modely ** Poradíme, jak dobře vybrat i s omezeným rozpočtem

David Polesný | 116

Hledá se způsob, jak uložit elektřinu. Možná pomohou obří gravitační baterie

Hledá se způsob, jak uložit elektřinu. Možná pomohou obří gravitační baterie

** Jak uložit elektřinu z fotovoltaiky a větrných turbín ** Pomohou třeba staré autobaterie, nebo setrvačníky ** A pak tu jsou bizarní gravitační akumulátory velikosti mrakodrapu

Jakub Čížek | 256



Aktuální číslo časopisu Computer

Megatest 12 bezdrátových sluchátek

Vyplatí se Apple z bazaru?

Test batohů pro notebooky

Vybíráme nejlepší sportovní hodinky