Przejdź na

Złośliwe wizytówki w webowym WhatsAppie. Nawet 200 mln osób narażonych na atak

Webowa aplikacja WhatsApp miała być odpowiedzią na potrzebytych wszystkich milionów użytkowników mobilnego komunikatora,którzy chcieliby rozmawiać ze swoimi kontaktami także za pomocąkomputera. Zamiast pisać kilka natywnych aplikacji nanajpopularniejsze systemy, zdecydowano się napisać jednąaplikację, działającą początkowo tylko w Chrome. Zyskała onawielkąpopularność, korzysta z niej już 200 mln osób. Stanowiłajednak zarazem dla użytkowników poważne zagrożenie. Błędnaobsługa wizytówek vCard pozwalała napastnikom na zdalneuruchomienie wrogiego kodu na komputerze ofiary.

Obraz
Adam Golański

Odkrycie tej ciekawej podatności zawdzięczamy Kasifowi Dekelowi,badaczowi z firmy Check Point Software Technologies. Odkrył on, żekażdy, kto zna numer telefonu przypisany do konta ofiary, możewysłać jej spreparowaną wizytówkę vCard, zawierającą komendędo atrybutu nazwiska po znaku „&”. Przy otwarciu takiegopliku, Windows próbuje uruchomić obcy kod z każdego wiersza.

Błąd tkwi w nieprawidłowym filtrowaniu załącznikówprzesyłanych przez mobilny komunikator, w tym obrazów, klipówwideo, lokalizacji i właśnie wizytówek. Taka spreparowanawizytówka niczym się nie różni od złośliwej, zwykły użytkownikkliknie w nią nie zastanawiając się – a klikając, uruchomi kodpodsunięty mu przez napastnika.

Obraz
Obraz

Odkrycia badacz dokonał analizując ruch sieciowy po XMPP międzyklientami a serwerami WhatsAppa. Okazało się, że przechwytując jei modyfikując można modyfikować rozszerzenie pliku wizytówki, np.zmieniając je na plik wsadowy .bat. Potem okazało się, że w żadneprzechwytywanie XMPP bawić się nie trzeba, każdy może sobiespreparować złośliwą wizytówkę na telefonie i udostępnić jąprzez klienta. Nie musimy się też ograniczać do plików wsadowych– z łatwością można wprowadzić do niej wykonywalny plik .exe ispreparować ją tak, by wyglądał dla ofiary jak np. pakietemotikonek WhatsAppa.

Jedynym sposobem na zabezpieczenie się przez tym zagrożeniemjest zaktualizowanie komunikatora na swoim urządzeniu mobilnym.WhatsApp został bowiem powiadomiony o możliwości ataku 21 sierpnia2015 roku, zaś 27 sierpnia udostępniono pierwszą poprawkę (dlawszystkich wersji nowszych od 0.1.4481) i zablokowano funkcjęumożliwiającą atak.

Komunikator WhatsApp dostępny jest w naszej bazie w wersjach naAndroida,iOS-a,oraz WindowsPhone.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Zaktualizuj Windowsa: wydano kwietniowe poprawki
Zaktualizuj Windowsa: wydano kwietniowe poprawki
ZATRZYMAJ SIĘ NA CHWILĘ… TE ARTYKUŁY WARTO PRZECZYTAĆ 👀