Уязвимость в мобильном приложении WhatsApp позволяет получать полный доступ к переписке пользователя злоумышленникам из сторонних приложений, установленных на мобильное устройство. Инструкцию по взлому написал и опубликовал в своем блоге независимый специалист по информационной безопасности и главный технический директор DoubleThink Бас Босхерт (Bas Bosschert).
Проблема касается только устройств на базе Android, в которых WhatsApp сохраняет резервную копию истории на карте памяти. Большинство приложений, устанавливаемых на устройство, имеют доступ к карте памяти. Таким образом, они могут легко получить доступ к файлу базы данных WhatsApp.
Для того чтобы расшифровать файл, Босхерт написал несложный скрипт на языке Python, текст которого
опубликовал в своем блоге. Ключ шифрования автор взял из приложения WhatsApp Xtract, которое позволяет просматривать и хранить историю переписки из WhatsApp на персональном компьютере. WhatsApp использует один и тот же ключ для шифрования сообщений всех пользователей, отметил эксперт.
После расшифровки Босхерт воспользовался простым приемом для преобразования файла базы данных в легко читаемый на любом компьютере файл в формате Excel.
По словам Босхерта, извлечение данных из файла WhatsApp может происходить в фоновом режиме незаметно для пользователя. Это может быть сделано в любом приложении, безобидном на первый взгляд. Данные затем могут быть отправлены на сервер злоумышленников. Эксперт отметил, что в последнем обновлении WhatsApp, которое вышло 11 марта, эта уязвимость не была устранена.
В iPhone воспользоваться указанной уязвимостью мешают алгоритмы защиты, встроенные непосредственно в платформу iOS. Они изолируют каждое запущенное приложение, запрещая доступ ко всем его файлам извне, поясняет TechCrunch.
Низкий уровень безопасности в WhatsApp является объектом критики с прошлого года, из-за чего власти Германии, например,
рекомендуют воздержаться от его использования. «Приложение WhatsApp понравилось бы АНБ», - передает слова исследователя из консалтингового агентства Praetorian Пола Хауреги (Paul Jauregui) издание Ars Technica. Специалист имеет в виду, что разработчики сами облегчают спецслужбам прослушку. Причем WhatsApp пользуются свыше 450 млн человек во всем мире.
«Я должен сделать вывод, что любое приложение может читать вашу переписку в WhatsApp. Кроме того, возможно читать переписку в зашифрованной базе данных. Facebook вовсе не требовалось покупать WhatsApp, чтобы читать ваши чаты», - написал Босхерт.
Напомним, что в конце февраля 2014 г. Facebook
объявила о приобретении WhatsApp за рекордную сумму $19 млрд.