WhatsApp | Bezpečnost | Instant Messaging

V aplikaci WhatsApp byla díra, která dokázala odstavit skupiny. Hrozilo zneužití

Odborníci z bezpečnostní firmy Check Point Research zveřejnili informace o zranitelnosti v aplikaci WhatsApp, spočívající v manipulaci s komunikačním protokolem. V případě zneužití této chyby docházelo k pádu aplikace a ztrátě dat ze skupinových chatů.

Bezpečnostní experti vytvořili program, s jehož pomocí testovali bezpečnost jedné z nejpopulárnějších komunikačních aplikací. Tento nástroj umožňuje uživateli upravovat zprávy před jejich odesláním a změnit obecné parametry – například telefonní číslo účastníka.

Zranitelnost ve WhatsAppu

Část svých poznatků prezentoval Check Point v srpnu na konferenci Black Hat USA, avšak některá zjištění si v té době ještě nechal pro sebe. Chyba totiž byla nahlášena vývojářům WhatsAppu a čekalo se na vydání opravy, která přišla s verzí 2.19.246 na začátku září. Informace o zranitelnosti však byly publikovány až nyní, kdy je jisté, že téměř všichni uživatelé používají bezpečnou verzi.

Problém se týkal skupinových chatů, kde díky manipulaci s komunikačním protokolem mohlo dojít ke zhroucení aplikace na zařízeních všech účastníků společné konverzace. Odborníci pomocí sady speciálních nástrojů zachytávali zprávy, které následně dešifrovali.

Podstata problému spočívala v XMPP (Extensible Messaging and Presence Protocol), což je komunikační protokol pro zasílání zpráv. Při pokusu o odeslání zprávy, kde je parametr účastníka nahrazen hodnotou „null“, dojde k výjimce při identifikaci, kdo danou zprávu poslal.

Zrádná manipulace

Odborníci následně nahradili parametr účastníka textovým řetězcem – jako příklad uvádějí „C@s.whatsapp.net“. Po odeslání takto upravené zprávy se aplikace WhatsApp zhroutila na každém telefonu, který byl členem inkriminované skupiny. Jak byl útok prováděn můžete vidět na následujícím videu.

Chyba způsobila selhání aplikace WhatsApp a opakovala se i po jejím opětovném otevření, čímž se účastníci konverzace ocitli v nekonečné smyčce. Do skupiny se nebylo možné vrátit, a všechna data v jejím rámci byla nenávratně ztracena.

V rámci WhatsApp přitom existuje mnoho důležitých skupin s cenným obsahem. Pokud by útočník použil tuto techniku a dojde k selhání, veškerá historie konverzace by byla ztracena a další komunikace by nebyla možná. Jediným řešením, jak postavit padající WhatsApp zpět na nohy, byla odinstalace aplikace, nová instalace a odstranění zasažené skupiny.

Skupiny na WhatsAppu jsou často využívány i k organizaci protestních akcí. V některých zemích kvůli tomu sílí tlak na omezování služby. V Číně je blokován národním filtrem, v Íránu či Kašmíru kvůli komunikátorům v případě nepokojů dočasně vypínají internetovou konektivitu úplně. Šikovný hack na odstranění problematických skupin by se jim bezesporu hodil.   

Diskuze (1) Další článek: Auta na vodík nejsou tak ekologická, jak by se mohlo zdát. Výběr je dost omezený

Témata článku: WhatsApp, Bezpečnost, Chat, Čína, Instant Messaging, Check Point, Manipulace, Konverzace, Odeslání, Aplikace, Parametr, Check point Research, APL, Účastník, Žně, Zranitelnost, Zneužití, Protokol, Black Hat USA, Odeslání zprávy, Whats, Zhroucení, XMPP


Určitě si přečtěte

Vybrali jsme 12 programovatelných hraček a stavebnic pro děti a jejich rodiče

Vybrali jsme 12 programovatelných hraček a stavebnic pro děti a jejich rodiče

** Získejte děti pro matematiku a základy techniky ** Kupte jim hračku nebo stavebnici, které vdechnou vlastní život ** Vybrali jsme stavebnice pro malé caparty i budoucí experty

Jakub Čížek | 9

AMD uvádí grafické karty Radeon RX 6800, 6800 XT a 6900 XT. Útočí přímo na modely od Nvidie

AMD uvádí grafické karty Radeon RX 6800, 6800 XT a 6900 XT. Útočí přímo na modely od Nvidie

** AMD představilo tři nové grafické karty ** Všechny s architekturou RDNA2, kterou používají i PS5 a Xbox Series ** Karty útočí přímo na GeForce RTX 3000

Karel Javůrek | 77

Filmové pirátství asi jen tak nezmizí. Když už musíte, stahujte bezpečně v Seedru

Filmové pirátství asi jen tak nezmizí. Když už musíte, stahujte bezpečně v Seedru

** Máme HBO Go, máme Netflix... ** Ale stejně krademe filmy a seriály ** Když už musíte, stahujte torrenty bezpečně v Seedru

Jakub Čížek | 146


Aktuální číslo časopisu Computer

Megatest mobilů do 5 500 Kč

Test levných herních notebooků

Hrajeme na Xbox Series X

Programy pro kontrolu dětí na počítači