Chyba WhatsAppu a Telegramu umožňovala hackerům změnit obsah konverzací
Rádi byste si popovídali s Nicolasem Cagem? Symantec vám to umožní, ale ne asi podle vašich představ. Tým bezpečnostních expertů ukázal, jak snadné je obejít vestavěnou ochranu a upravovat přímo doručovaný obsah.
Ačkoli se WhatsApp a Telegram chlubí zabezpečením konverzací u koncových uživatelů šifrováním a Telegram skutečně platí za bezpečný chatovací program, vypadá to, že implementace okolo byla pořádně děravá. Na tuto skutečnost upozorňuje CNET ve spolupráci s bezpečnostní firmou Symantec.
Šifrování sice zaručuje bezpečnost konverzací po jejich trase, ne však při jejich odesílání a přijímání. To se již ukázalo letos v dubnu, kdy se dařilo přes WhatsApp posílat spyware. V roce 2017 byla v aplikaci Telegram objevena chyba, která umožňovala převzít i kontrolu nad účtem.
Nová zranitelnost není tak nebezpečná jako dvě uvedené, ale stále se jedná o hrozbu. Je však možné ji vcelku snadno eliminovat. Vrátka v zabezpečení vznikla tehdy, když uživatel zvolil ukládání dat na externí paměti. Na WhatsAppu se možnost jmenuje Viditelnost médií v sekci Chaty, na Telegramu stačí vypnout Ukládat do galerie. Po zapnutí je možné zaměňovat obsah ukládaný do zařízení a podvrhnout do chatu úplně jiný, který může nést nebezpečný obsah nebo například může prostřednictvím někoho blízkého uživatele vydírat.
https://www.youtube.com/watch?v=FHvkGUh8S_c
Telegram se k situaci nevyjádřil, WhatsApp vydal následující PR prohlášení:
„WhatsApp podrobně prozkoumal tento problém. Podobně jako u předchozích ovlivňuje úložiště ekosystém aplikací. WhatsApp dodržuje nejlepší poskytnuté postupy ukládání médií a zajistí aktualizace v souladu s vývojem systému Android.“
Horší než tato chyba je ale fakt, že se stále na Google Play dostávají podvodné verze těchto aplikací. MobonoGram byla aplikace inzerovaná jako vylepšená verze Telegramu, místo toho zavlekla uživatele na podvodné weby, stahovala porno a přetěžovala zařízení odběrem výkonu. Stáhlo si ji přes 100 000 lidí. Od stejných útočníků pocházela i aplikace Whatsgram a další, napodobující od ledna do května populární komunikační aplikace.
zdroj: CNET
Související
Nepřehlédněte
Diskuze
Nejčtenější články
Chyba WhatsAppu a Telegramu umožňovala hackerům změnit obsah konverzací
Rádi byste si popovídali s Nicolasem Cagem? Symantec vám to umožní, ale ne asi podle vašich představ. Tým bezpečnostních expertů ukázal, jak snadné je obejít vestavěnou ochranu a upravovat přímo doručovaný obsah.
Tip: Výpadek Facebooku přinesl Telegramu 3 miliony nových uživatelů
Ačkoli se WhatsApp a Telegram chlubí zabezpečením konverzací u koncových uživatelů šifrováním a Telegram skutečně platí za bezpečný chatovací program, vypadá to, že implementace okolo byla pořádně děravá. Na tuto skutečnost upozorňuje CNET ve spolupráci s bezpečnostní firmou Symantec.
Šifrování sice zaručuje bezpečnost konverzací po jejich trase, ne však při jejich odesílání a přijímání. To se již ukázalo letos v dubnu, kdy se dařilo přes WhatsApp posílat spyware. V roce 2017 byla v aplikaci Telegram objevena chyba, která umožňovala převzít i kontrolu nad účtem.
Nová zranitelnost není tak nebezpečná jako dvě uvedené, ale stále se jedná o hrozbu. Je však možné ji vcelku snadno eliminovat. Vrátka v zabezpečení vznikla tehdy, když uživatel zvolil ukládání dat na externí paměti. Na WhatsAppu se možnost jmenuje Viditelnost médií v sekci Chaty, na Telegramu stačí vypnout Ukládat do galerie. Po zapnutí je možné zaměňovat obsah ukládaný do zařízení a podvrhnout do chatu úplně jiný, který může nést nebezpečný obsah nebo například může prostřednictvím někoho blízkého uživatele vydírat.
https://www.youtube.com/watch?v=FHvkGUh8S_c
Telegram se k situaci nevyjádřil, WhatsApp vydal následující PR prohlášení:
„WhatsApp podrobně prozkoumal tento problém. Podobně jako u předchozích ovlivňuje úložiště ekosystém aplikací. WhatsApp dodržuje nejlepší poskytnuté postupy ukládání médií a zajistí aktualizace v souladu s vývojem systému Android.“
Horší než tato chyba je ale fakt, že se stále na Google Play dostávají podvodné verze těchto aplikací. MobonoGram byla aplikace inzerovaná jako vylepšená verze Telegramu, místo toho zavlekla uživatele na podvodné weby, stahovala porno a přetěžovala zařízení odběrem výkonu. Stáhlo si ji přes 100 000 lidí. Od stejných útočníků pocházela i aplikace Whatsgram a další, napodobující od ledna do května populární komunikační aplikace.
zdroj: CNET
