Biztonságosabb lett a WhatsApp

A WhatsApp folyamatosan növeli népszerűségét, és az okostelefonok terjedésével párhuzamosan mind több felhasználó tetszését nyeri el. Ezért aztán nem meglepő, hogy a biztonsági kutatók is egyre több figyelmet szentelnek a közkedvelt szolgáltatás védelmi megoldásainak tesztelésére.

Tavaly év végén az interneten egy olyan weboldal jelent meg, amely a WhatsApp felhasználóihoz tartozó állapotinformációkat mindössze telefonszámok alapján szabadon megváltoztathatóvá tette bárki számára. Erre a weblapra azonban elég nehezen figyeltek fel a WhatsApp mérnökei, viszont miután egyre nagyobb visszhangot keltett az oldal a sajtóban, a fejlesztők sem tétováztak tovább. Immár hivatalosan is elismerték, hogy a szóban forgó weblap által kihasznált sebezhetőség valóban létezett, és megtették a szükséges intézkedéseket a biztonsági rés befoltozásának érdekében. Ezért a hiba most már nem jelent kockázatot, illetve nem okozhat kellemetlenséget a felhasználóknak.

Hiányzó hitelesítés

A hibát kihasználó weboldal létrehozói is megerősítették, hogy a WhatsApp befoltozta a biztonsági rést. A kutatók elmondták, hogy a WhatsApp alapvetően XMPP alapon működik, és bizonyos esetekben a kliensek HTTPS-en keresztül küldenek különféle kéréseket a szerverek felé. Többek között akkor is, amikor az állapotinformációkat kívánják frissíteni. A problémát azonban az jelentette, hogy e folyamat során nem volt szükség előzetes hitelesítésre, amit meglehetősen látványosan sikerült is kihasználni.

A történet azonban korántsem ért véget, ugyanis a kutatók nemcsak egy sérülékenységről számoltak be, hanem összesen háromról. Az előbbiekben említett rendellenesség mellett a WhatsApp kapcsán felfedeztek még egy regisztrációs folyamatok megkerülésére alkalmas technikát, valamint jelezték, hogy egyes esetekben a WhatsApp egész egyszerűen nem végez titkosítást az adatátvitel során.

A WhatsApp ígérete szerint a közeljövőben további frissítések fognak elérhetővé válni annak érdekében, hogy a szolgáltatás biztonsága fokozható legyen.