Bezpečnost | WhatsApp | Telegram

Chyba v aplikacích WhatsApp a Telegram otevírá hackerům přístup k souborům

  • Symantec odhalil chybu v aplikacích WhatsApp a Telegram
  • Dovoluje útočníkům manipulovat s multimediálními soubory
  • Bezpečnostní díra překvapuje svou jednoduchostí
Chyba v aplikacích WhatsApp a Telegram otevírá hackerům přístup k souborům

Bezpečnostní experti ze Symantecu odhalili v pondělí 15. července informace o nové chybě, která může útočníkům zpřístupnit multimediální soubory, zaslané přes komunikační aplikace WhatsApp a Telegram pro Android. Hackeři se touto cestou mohou dostat například k osobním fotografiím nebo dokumentům.

Bezpečnostní díra, označovaná jako „Media File Jacking“, spočívá v tom, že uvedené aplikace ukládají přijaté soubory do paměti zařízení, aby je následně mohly zobrazit v uživatelském rozhraní. Obchází tak end-to-end šifrování, protože se k datům dostává až po jejich přijetí. Chyba ovlivňuje WhatsApp ve výchozím nastavení a Telegram, pokud jsou povoleny některé funkce.

Háček je v tom, že komunikátor WhatsApp používá k ukládání souborů primárně externí úložiště (u Telegramu je tato možnost volitelná), kam se mohou dostat i další aplikace, jež mají příslušné oprávnění. Podstatně bezpečnější by přitom bylo využívání interního úložiště, ke kterému má přístup jen příslušný program.

Až banálně jednoduchá chyba

Chyba překvapuje svou jednoduchostí, nicméně aby mohla fungovat, musí být na zdrojovém nebo cílovém zařízení nainstalován malware, jehož úkolem je získání příslušných souborů. Tato aplikace běží (bez vědomí uživatele) na pozadí a zneužívá objevenou bezpečnostní chybu.

Odborníci připravili video s názornou ukázkou, ve kterém odesílatel posílá kamarádovi svou aktuální fotografii přes WhatsApp. Ta je po přijetí příjemcem uložena do telefonu, kde s ní může škodlivá aplikace dále pracovat – například ji odeslat nebo upravit (zde konkrétně mění tváře na snímku). Škodlivá aplikace může podobným způsobem fungovat i na telefonu odesílatele.

Nebezpečí tohoto způsobu útoku spočívá v tom, jak velké množství uživatelů může postihnout. Komunikační aplikace WhatsApp a Telegram používají dohromady více než 1,5 miliardy lidí po celém světě. Symantec před publikací informoval o svém objevu obě dotčené společnosti – Facebook i Telegram, které se však zatím oficiálně nevyjádřily.

Významná rizika, spočívající v důvěře

Experti na bezpečnost varují především před tím, že při případném zneužití bezpečnostní díry mohou útočníci zneužít a manipulovat se soukromými informacemi. Problémem je, že zásah do soukromé komunikace nemusí uživatelé poznat, neboť si vzájemně důvěřují.

Klepněte pro větší obrázek 
Způsob útoku přes Media File Jacking

Možné scénáře útoku zahrnují například manipulaci s obsahem obrázků, úpravu platebních údajů na faktuře zaslané zákazníkovi či změnu obsahu hlasové zprávy s pomocí technologie hlubokého učení. Útočníci mohou tímto způsobem zasahovat nejen do komunikace mezi jednotlivci, ale také do skupinových chatů.

Je jasné, že žádný kód není imunní vůči zranitelnostem v zabezpečení. Zatímco šifrování typu end-to-end je účinným mechanismem pro zajištění integrity komunikace, nestačí, pokud v kódu existují chyby zabezpečení na úrovni aplikace jako takové.

Diskuze (7) Další článek: Americké firmy budou dál spolupracovat s Huawei, ledy mají povolit za dva až čtyři týdny

Témata článku: Facebook, Bezpečnost, WhatsApp, Instant Messaging, Chat, Telegram, Komunikace, Soubor, Bez vědomí, Symantec, Aplikace, APL, Bezpečnostní díra, Díra, Chyba, Multimediální soubor, Hacker, Whats


Určitě si přečtěte

Šéf Spotify: Budeme zdražovat. Náš obsah se zlepšil
Markéta Mikešová
PředplatnéSpotify
Jak v prohlížeči vypnout oznámení zasílaná webovými stránkami

Jak v prohlížeči vypnout oznámení zasílaná webovými stránkami

** Obtěžují vás neustálé dotazy webů, zda chcete zobrazovat oznámení? ** Můžete je zakázat, a to jak kompletně, tak i pro jednotlivé stránky ** Připravili jsme návody pro Chrome, Firefox, Edge a Operu

Karel Kilián | 11

Karel Kilián
Jak na InternetTipyProhlížeče
Cableporn: Podívejte se na úžasná díla umělců z podnikových serveroven

Cableporn: Podívejte se na úžasná díla umělců z podnikových serveroven

** Uspořádání kabelů můžete vnímat i jako podivný druh umění ** To nejkrásnější se skrývá v datacentrech a serverovnách ** Podívejte se na skutečné „cableporn“ z optiky i kroucené dvojlinky

Vojtěch Malý | 51

Vojtěch Malý
DatacentraServery
Nejlepší herní notebooky a pracovní stroje: Když máte více než 20 tisíc

Nejlepší herní notebooky a pracovní stroje: Když máte více než 20 tisíc

** Když máte na notebook více než 20 tisíc korun, odpadají kompromisy ** Notebooky na práci dostávají tenká kovová těla a styl ** Herní notebooky zvládnou i nejmodernější hry v plné kvalitě

David Polesný | 43

David Polesný
Notebooky
Nejlepší notebooky do 10 000 korun: Co má ještě smysl kupovat. A co ne?

Nejlepší notebooky do 10 000 korun: Co má ještě smysl kupovat. A co ne?

** Notebooky s cenou do deseti tisíc korun jsou plné kompromisů ** Existuje několik modelů dobře použitelných pro nenáročné použití ** Vhodnou alternativou jsou tablety nebo repasované počítače

David Polesný | 92

David Polesný
Jak vybrat notebookNotebooky

Aktuální číslo časopisu Computer

Jak prodloužit výdrž notebooku

Velké testy: gamepady a inkoustové tiskárny

Důkladný test Sony Playstation 5