Súlyos hiba tátongott a WhatsAppon

Biztonsági kutatók népszerű üzenetküldőkben tártak fel súlyos sérülékenységeket. A felhasználói fiókok teljes mértékben kiszolgáltatottá válhattak a hiba következtében.
 

A támadók a sérülékenységek kihasználásával teljesen át tudták volna venni az uralmat a felhasználói fiókok felett, és hozzáférhettek volna az áldozatok személyes, illetve csoportos beszélgetéseihez, fotóihoz, videóihoz, címlistáihoz, valamint a megosztott fájlokhoz.
 
"E sérülékenység révén a WhatsApp Web és a Telegram Web felhasználók százmillióinak fiókja felett volt átvehető az irányítás. Akár egyetlen, látszólag ártalmatlan fotó elküldése megnyithatta az utat a támadó előtt, aki átvehette a hatalmat a teljes fiók felett" - mondta Oded Vanunu, a Check Point termékigazgatója.
 
A sérülékenységen keresztül a támadó az áldozatnak egy rosszindulatú kódot küldhetett, amit egy képbe csempészhetett. Amint erre a felhasználó rákattintott, akkor az elkövető teljes hozzáférést kapott a WhatsApp vagy a Telegram fiókhoz. A kockázatokat fokozta, hogy a támadó az ártalmas kódját az áldozata címlistáján keresztül eljuttathatta további felhasználókhoz is, így a szélesebb körű támadások lehetőségét sem lehetett kizárni.
 
A Check Point a felfedezéséről március 8-án értesítette a WhatsApp és a Telegram biztonsági csapatát. A szakemberek megerősítették a biztonsági rés létezését, és rögtön megtették a szükséges intézkedéseket. Így a sebezhetőség már nem jelent veszélyt.
 
"Szerencsére a WhatsApp, valamint a Telegram gyorsan és felelősségteljesen reagált annak érdekében, hogy minimalizálja a kockázatokat" - vélekedett Oded Vanunu.
 
A titkosítás árnyoldalai
 
A WhatsApp és a Telegram is végponttól végpontig terjedő üzenettitkosítást használ. Ezzel biztosítja, hogy csak a kommunikációban résztvevő felhasználók tudják elolvasni az üzeneteket. Azonban éppen ez a titkosítás volt az, amit ki lehetett használni a támadások során. Mivel az üzenetek titkosítása a feladónál történik, a WhatsApp és a Telegram nem fér hozzá azok tartalmához, tehát nem tudja megakadályozni, hogy rosszindulatú kódot küldjön a felhasználó. A sérülékenység javítása óta viszont még titkosítás előtt jóváhagyja a rendszer a tartalmakat, ezzel lehetővé téve a rosszindulatú fájlok blokkolását.
 
A felhasználóknak nincs teendőjük, a hibajavítás a böngésző újraindítását követően automatikusan érvényre jutott.