r   e   k   l   a   m   a
r   e   k   l   a   m   a

Złośliwe wizytówki w webowym WhatsAppie. Nawet 200 mln osób narażonych na atak

Strona główna AktualnościBEZPIECZEŃSTWO

Webowa aplikacja WhatsApp miała być odpowiedzią na potrzeby tych wszystkich milionów użytkowników mobilnego komunikatora, którzy chcieliby rozmawiać ze swoimi kontaktami także za pomocą komputera. Zamiast pisać kilka natywnych aplikacji na najpopularniejsze systemy, zdecydowano się napisać jedną aplikację, działającą początkowo tylko w Chrome. Zyskała ona wielką popularność, korzysta z niej już 200 mln osób. Stanowiła jednak zarazem dla użytkowników poważne zagrożenie. Błędna obsługa wizytówek vCard pozwalała napastnikom na zdalne uruchomienie wrogiego kodu na komputerze ofiary.

Odkrycie tej ciekawej podatności zawdzięczamy Kasifowi Dekelowi, badaczowi z firmy Check Point Software Technologies. Odkrył on, że każdy, kto zna numer telefonu przypisany do konta ofiary, może wysłać jej spreparowaną wizytówkę vCard, zawierającą komendę do atrybutu nazwiska po znaku „&”. Przy otwarciu takiego pliku, Windows próbuje uruchomić obcy kod z każdego wiersza.

Błąd tkwi w nieprawidłowym filtrowaniu załączników przesyłanych przez mobilny komunikator, w tym obrazów, klipów wideo, lokalizacji i właśnie wizytówek. Taka spreparowana wizytówka niczym się nie różni od złośliwej, zwykły użytkownik kliknie w nią nie zastanawiając się – a klikając, uruchomi kod podsunięty mu przez napastnika.

r   e   k   l   a   m   a

Odkrycia badacz dokonał analizując ruch sieciowy po XMPP między klientami a serwerami WhatsAppa. Okazało się, że przechwytując je i modyfikując można modyfikować rozszerzenie pliku wizytówki, np. zmieniając je na plik wsadowy .bat. Potem okazało się, że w żadne przechwytywanie XMPP bawić się nie trzeba, każdy może sobie spreparować złośliwą wizytówkę na telefonie i udostępnić ją przez klienta. Nie musimy się też ograniczać do plików wsadowych – z łatwością można wprowadzić do niej wykonywalny plik .exe i spreparować ją tak, by wyglądał dla ofiary jak np. pakiet emotikonek WhatsAppa.

Jedynym sposobem na zabezpieczenie się przez tym zagrożeniem jest zaktualizowanie komunikatora na swoim urządzeniu mobilnym. WhatsApp został bowiem powiadomiony o możliwości ataku 21 sierpnia 2015 roku, zaś 27 sierpnia udostępniono pierwszą poprawkę (dla wszystkich wersji nowszych od 0.1.4481) i zablokowano funkcję umożliwiającą atak.

Komunikator WhatsApp dostępny jest w naszej bazie w wersjach na Androida, iOS-a, oraz Windows Phone.

© dobreprogramy

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.