Bezpečnost | WhatsApp | Instant Messaging

V aplikaci WhatsApp byla díra, která dokázala odstavit skupiny. Hrozilo zneužití

Odborníci z bezpečnostní firmy Check Point Research zveřejnili informace o zranitelnosti v aplikaci WhatsApp, spočívající v manipulaci s komunikačním protokolem. V případě zneužití této chyby docházelo k pádu aplikace a ztrátě dat ze skupinových chatů.

Bezpečnostní experti vytvořili program, s jehož pomocí testovali bezpečnost jedné z nejpopulárnějších komunikačních aplikací. Tento nástroj umožňuje uživateli upravovat zprávy před jejich odesláním a změnit obecné parametry – například telefonní číslo účastníka.

Zranitelnost ve WhatsAppu

Část svých poznatků prezentoval Check Point v srpnu na konferenci Black Hat USA, avšak některá zjištění si v té době ještě nechal pro sebe. Chyba totiž byla nahlášena vývojářům WhatsAppu a čekalo se na vydání opravy, která přišla s verzí 2.19.246 na začátku září. Informace o zranitelnosti však byly publikovány až nyní, kdy je jisté, že téměř všichni uživatelé používají bezpečnou verzi.

Problém se týkal skupinových chatů, kde díky manipulaci s komunikačním protokolem mohlo dojít ke zhroucení aplikace na zařízeních všech účastníků společné konverzace. Odborníci pomocí sady speciálních nástrojů zachytávali zprávy, které následně dešifrovali.

Podstata problému spočívala v XMPP (Extensible Messaging and Presence Protocol), což je komunikační protokol pro zasílání zpráv. Při pokusu o odeslání zprávy, kde je parametr účastníka nahrazen hodnotou „null“, dojde k výjimce při identifikaci, kdo danou zprávu poslal.

Zrádná manipulace

Odborníci následně nahradili parametr účastníka textovým řetězcem – jako příklad uvádějí „C@s.whatsapp.net“. Po odeslání takto upravené zprávy se aplikace WhatsApp zhroutila na každém telefonu, který byl členem inkriminované skupiny. Jak byl útok prováděn můžete vidět na následujícím videu.

Chyba způsobila selhání aplikace WhatsApp a opakovala se i po jejím opětovném otevření, čímž se účastníci konverzace ocitli v nekonečné smyčce. Do skupiny se nebylo možné vrátit, a všechna data v jejím rámci byla nenávratně ztracena.

V rámci WhatsApp přitom existuje mnoho důležitých skupin s cenným obsahem. Pokud by útočník použil tuto techniku a dojde k selhání, veškerá historie konverzace by byla ztracena a další komunikace by nebyla možná. Jediným řešením, jak postavit padající WhatsApp zpět na nohy, byla odinstalace aplikace, nová instalace a odstranění zasažené skupiny.

Skupiny na WhatsAppu jsou často využívány i k organizaci protestních akcí. V některých zemích kvůli tomu sílí tlak na omezování služby. V Číně je blokován národním filtrem, v Íránu či Kašmíru kvůli komunikátorům v případě nepokojů dočasně vypínají internetovou konektivitu úplně. Šikovný hack na odstranění problematických skupin by se jim bezesporu hodil.   

Diskuze (1) Další článek: Auta na vodík nejsou tak ekologická, jak by se mohlo zdát. Výběr je dost omezený

Témata článku: Bezpečnost, WhatsApp, Čína, Chat, Instant Messaging, Manipulace, Zneužití, Parametr, Žně, Black Hat USA, Check point Research, Odeslání, Konverzace, Zranitelnost, Účastník, Aplikace, Whats, Check Point, Protokol


Určitě si přečtěte

13 praktických tipů a triků pro Mapy.cz, které možná neznáte

13 praktických tipů a triků pro Mapy.cz, které možná neznáte

** Mapy.cz neslouží jen k zobrazení podkladů a plánování tras ** Nabízejí celou řadu dalších praktických funkcí a možností ** Vybrali jsme třináct tipů a triků, o kterých možná nevíte

Karel Kilián | 36

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

** Do deseti tisíc korun lze dnes koupit slušné notebooky ** V nabídce ale i tak převládají zastaralé a pomalé modely ** Poradíme, jak dobře vybrat i s omezeným rozpočtem

David Polesný | 112

Podívejte se, jak vypadá mikrofon nebo blecha pod elektronovým mikroskopem

Podívejte se, jak vypadá mikrofon nebo blecha pod elektronovým mikroskopem

** Z Brna pochází třetina světové produkce elektronových mikroskopů ** První československý kus vyrobila Tesla už v 50. letech ** Dnes na ni navazuje třeba brněnský Tescan

Jakub Čížek | 19



Aktuální číslo časopisu Computer

Test 9 bezdrátových reproduktorů

Jak ovládnout Instagram

Test levných 27" herních monitorů

Jak se zbavit nepotřebných věcí na internetu