Pred dvema mesecema so raziskovalci odkrili varnostno luknjo mobilne aplikacije WhatsApp. Zlonamernim uporabnikom dovoli, da prestrežejo in popravljajo sporočila uporabnika, tako v zasebnih kot v skupinskih pogovorih.

Natalie Silvanovich, varnostna inženirka pri podjetju Google Project Zero je našla kritično ranljivost v aplikaciji WhatsApp, ki hekerjem omogoča, da na daljavo prevzamejo popolno upravljanje vaše aplikacije na mobilnem telefonu.

 

Gre za ranljivost vrste korupcija spomina (‘memory heap overflow’) in se sproži, ko uporabnik preko video klica prejme posebej oblikovan RTP paket (‘crafted malformed RTP’), kar povzroči napako v delovanju aplikacije WhatsApp in jo sesuje.

Ker ranljivost prizadene RTP (‘Real-time Transport Protocol’) sama implementacija WhatsApp vpliva na aplikacije Android in iOS, ne pa na WhatsApp Web, ki temelji na WebRTC za video klice.

Sprejem video klica v aplikaciji WhatsApp lahko okuži vaš pametni telefon

Silvanovicheva je objavila dokaz za izkoriščanje omenjene varnostne ranljivosti, skupaj z navodili za ponovitev izvedbe napada. Čeprav gre pri tem samo za sprožitev korupcije spomina (‘memory heap overflow’), pa drugi varnostni inženir podjetja Google Tavis Ormandy trdi, da gre za zelo nevarno ranljivost.

 

Potrebno se je le oglasiti na klic (napadalca) in s tem je aplikacija že kompromitirana.

Z drugimi besedami, napadalec potrebuje vašo telefonsko številko in že lahko prisluškuje vašim zasebnim sporočilom.

Silvanovicheva je podjetje WhatsApp o odkriti ranljivosti obvestila avgusta letos, ta je ranljivost tudi priznal. Ranljivost za Android so odpravili 28. septembra, 3. oktobra pa so poskrbeli še za iOS, zato se je o tem lahko tudi javno spregovorilo.

Da ne bo prepozno

Varnostna popravka sta torej že na voljo; v kolikor še niste, čimprej posodobite vašo aplikacijo WhatsApp na mobilnih platformah Android in iOS.

 

Kot vidimo je dosledno in redno izvajanje posodobitev oz. varnostnih popravkov izrednega pomena, tako na mobilnih napravah, kot tudi na računalnikih (o tem smo pisali v blogu Varnostni popravek – nadloga ali rešitelj). Na ta način se lahko izognemo marsikateremu varnostnemu incidentu in mnogim skrbem.

 

Si prizadevate izboljšati omrežno varnost?
Mi vam lahko pri tem pomagamo z nasvetom in/ali poglobljenim pregledom.