WhatsApp | Bezpečnost | Instant Messaging

V aplikaci WhatsApp byla díra, která dokázala odstavit skupiny. Hrozilo zneužití

Odborníci z bezpečnostní firmy Check Point Research zveřejnili informace o zranitelnosti v aplikaci WhatsApp, spočívající v manipulaci s komunikačním protokolem. V případě zneužití této chyby docházelo k pádu aplikace a ztrátě dat ze skupinových chatů.

Bezpečnostní experti vytvořili program, s jehož pomocí testovali bezpečnost jedné z nejpopulárnějších komunikačních aplikací. Tento nástroj umožňuje uživateli upravovat zprávy před jejich odesláním a změnit obecné parametry – například telefonní číslo účastníka.

Zranitelnost ve WhatsAppu

Část svých poznatků prezentoval Check Point v srpnu na konferenci Black Hat USA, avšak některá zjištění si v té době ještě nechal pro sebe. Chyba totiž byla nahlášena vývojářům WhatsAppu a čekalo se na vydání opravy, která přišla s verzí 2.19.246 na začátku září. Informace o zranitelnosti však byly publikovány až nyní, kdy je jisté, že téměř všichni uživatelé používají bezpečnou verzi.

Problém se týkal skupinových chatů, kde díky manipulaci s komunikačním protokolem mohlo dojít ke zhroucení aplikace na zařízeních všech účastníků společné konverzace. Odborníci pomocí sady speciálních nástrojů zachytávali zprávy, které následně dešifrovali.

Podstata problému spočívala v XMPP (Extensible Messaging and Presence Protocol), což je komunikační protokol pro zasílání zpráv. Při pokusu o odeslání zprávy, kde je parametr účastníka nahrazen hodnotou „null“, dojde k výjimce při identifikaci, kdo danou zprávu poslal.

Zrádná manipulace

Odborníci následně nahradili parametr účastníka textovým řetězcem – jako příklad uvádějí „C@s.whatsapp.net“. Po odeslání takto upravené zprávy se aplikace WhatsApp zhroutila na každém telefonu, který byl členem inkriminované skupiny. Jak byl útok prováděn můžete vidět na následujícím videu.

Chyba způsobila selhání aplikace WhatsApp a opakovala se i po jejím opětovném otevření, čímž se účastníci konverzace ocitli v nekonečné smyčce. Do skupiny se nebylo možné vrátit, a všechna data v jejím rámci byla nenávratně ztracena.

V rámci WhatsApp přitom existuje mnoho důležitých skupin s cenným obsahem. Pokud by útočník použil tuto techniku a dojde k selhání, veškerá historie konverzace by byla ztracena a další komunikace by nebyla možná. Jediným řešením, jak postavit padající WhatsApp zpět na nohy, byla odinstalace aplikace, nová instalace a odstranění zasažené skupiny.

Skupiny na WhatsAppu jsou často využívány i k organizaci protestních akcí. V některých zemích kvůli tomu sílí tlak na omezování služby. V Číně je blokován národním filtrem, v Íránu či Kašmíru kvůli komunikátorům v případě nepokojů dočasně vypínají internetovou konektivitu úplně. Šikovný hack na odstranění problematických skupin by se jim bezesporu hodil.   

Diskuze (1) Další článek: Auta na vodík nejsou tak ekologická, jak by se mohlo zdát. Výběr je dost omezený

Témata článku: WhatsApp, Bezpečnost, Čína, Chat, Instant Messaging, Check Point, Manipulace, Žně, Check point Research, Parametr, Protokol, APL, Aplikace, XMPP, Konverzace, Black Hat USA, Zhroucení, Zneužití, Whats, Odeslání, Zranitelnost, Odeslání zprávy, Účastník


Určitě si přečtěte

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 4

DeOldify: Téměř zázračná technologie, která obarvuje 2. světovou válku, nebo vaše fotky z dětství

DeOldify: Téměř zázračná technologie, která obarvuje 2. světovou válku, nebo vaše fotky z dětství

** Neuronová síť DeOldify obarvuje fotky ** Můžete si ji vyzkoušet sami i bez superpočítače ** YouTube je plný obarvených ikonických videí

Jakub Čížek | 21


Aktuální číslo časopisu Computer

Velký test fitness náramků

Levné záložní zdroje

Jak si zabezpečit domov

Nejlepší monitory na trhu