Złośliwe wizytówki w webowym WhatsAppie. Nawet 200 mln osób narażonych na atak

Złośliwe wizytówki w webowym WhatsAppie. Nawet 200 mln osób narażonych na atak

Złośliwe wizytówki w webowym WhatsAppie. Nawet 200 mln osób narażonych na atak
09.09.2015 13:57

Webowa aplikacja WhatsApp miała być odpowiedzią na potrzebytych wszystkich milionów użytkowników mobilnego komunikatora,którzy chcieliby rozmawiać ze swoimi kontaktami także za pomocąkomputera. Zamiast pisać kilka natywnych aplikacji nanajpopularniejsze systemy, zdecydowano się napisać jednąaplikację, działającą początkowo tylko w Chrome. Zyskała onawielkąpopularność, korzysta z niej już 200 mln osób. Stanowiłajednak zarazem dla użytkowników poważne zagrożenie. Błędnaobsługa wizytówek vCard pozwalała napastnikom na zdalneuruchomienie wrogiego kodu na komputerze ofiary.

Odkrycie tej ciekawej podatności zawdzięczamy Kasifowi Dekelowi,badaczowi z firmy Check Point Software Technologies. Odkrył on, żekażdy, kto zna numer telefonu przypisany do konta ofiary, możewysłać jej spreparowaną wizytówkę vCard, zawierającą komendędo atrybutu nazwiska po znaku „&”. Przy otwarciu takiegopliku, Windows próbuje uruchomić obcy kod z każdego wiersza.

Błąd tkwi w nieprawidłowym filtrowaniu załącznikówprzesyłanych przez mobilny komunikator, w tym obrazów, klipówwideo, lokalizacji i właśnie wizytówek. Taka spreparowanawizytówka niczym się nie różni od złośliwej, zwykły użytkownikkliknie w nią nie zastanawiając się – a klikając, uruchomi kodpodsunięty mu przez napastnika.

Obraz
Obraz

Odkrycia badacz dokonał analizując ruch sieciowy po XMPP międzyklientami a serwerami WhatsAppa. Okazało się, że przechwytując jei modyfikując można modyfikować rozszerzenie pliku wizytówki, np.zmieniając je na plik wsadowy .bat. Potem okazało się, że w żadneprzechwytywanie XMPP bawić się nie trzeba, każdy może sobiespreparować złośliwą wizytówkę na telefonie i udostępnić jąprzez klienta. Nie musimy się też ograniczać do plików wsadowych– z łatwością można wprowadzić do niej wykonywalny plik .exe ispreparować ją tak, by wyglądał dla ofiary jak np. pakietemotikonek WhatsAppa.

Jedynym sposobem na zabezpieczenie się przez tym zagrożeniemjest zaktualizowanie komunikatora na swoim urządzeniu mobilnym.WhatsApp został bowiem powiadomiony o możliwości ataku 21 sierpnia2015 roku, zaś 27 sierpnia udostępniono pierwszą poprawkę (dlawszystkich wersji nowszych od 0.1.4481) i zablokowano funkcjęumożliwiającą atak.

Komunikator WhatsApp dostępny jest w naszej bazie w wersjach naAndroida,iOS-a,oraz WindowsPhone.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
bezpieczeństwo
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (6)