WhatsApp z poważną luką. Wystarczyło znać numer telefonu, by przejąć aplikację

WhatsApp z poważną luką. Wystarczyło znać numer telefonu, by przejąć aplikację

WhatsApp z poważną luką. Wystarczyło znać numer telefonu, by przejąć aplikację
10.10.2018 11:54, aktualizacja: 11.10.2018 11:01

Czy można przejąć kontrolę nad czyimś smartfonem zwyczajnie dzwoniąc do tej osoby? Może w kiepskim filmie akcji, bo w rzeczywistości nie jest to takie łatwe. Nie można jednak powiedzieć, że to niewykonalne. Google Project Zero przedstawił atak na komunikator WhatsApp, pozwalający zdalnie przejąć kontrolę nad aplikacją na smartfonie ofiary. Wystarczy, że atakowany odbierze przychodzące połączenie wideo.

Luka została odkryta przez Natalie Silvanovich, pracującą w Project Zero. Atakujący mogą przejąć kontrolę nad komunikatorem korzystając z przepełnienia stosu pamięci. Do przepełnienia dochodzi, gdy użytkownik odbierze specjalnie spreparowany pakiet RTP (Real-time Transport Protocol, protokół transmisyjny czasu rzeczywistego, używany między innymi do rozmów głosowych i wideo). Nieprawidłowy pakiet zostaje wysłany podczas „dzwonienia” do atakowanej osoby. Po odebraniu połączenia aplikacja WhatsApp natychmiast kończy pracę.

Warto tu zaznaczyć, że przeglądarkowa wersja WhatsApp'a korzysta z WebRTC do rozmów wideo, więc nie jest podatna na ten atak. Da się go przeprowadzić na aplikacjach dla Androida i iOS-a. Szczegóły można znaleźć w publikacji, razem z opisem kolejnych kroków ataku.

Samo zakończenie pracy aplikacji i naruszenie integralności pamięci to tylko pierwszy krok do ataku. Temat kontynuował Tavis Ormandy z Project Zero. Jego zdaniem problem jest bardzo poważny, gdyż odbierając połączenie przychodzące użytkownik naraża się także na dalsze ataki. Awaria komunikatora otwiera luki, za pośrednictwem których można przejąć kontrolę nad aplikacją, dostać się do konta użytkownika i podsłuchiwać prowadzone przez nią rozmowy. Ponieważ WhatsApp wykorzystuje numer telefonu jako identyfikator użytkownika, wystarczy znać czyjś numer, by zaatakować.

Silvanovich odkryła lukę w sierpniu i od razu powiadomiła autorów komunikatora. Łatka dla wersji dla Androida została wydana 28 września, dla iOS-a 3 października. Jeśli nie aktualizowaliście w ciągu ostatnich tygodni komunikatora, warto to zrobić jak najszybciej. Najnowszą wersję WhatsAppa znajdziecie w naszej bazie aplikacji dla Androida i iOS-a.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
oprogramowaniebezpieczeństwo
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (27)