Chyba vo WhatsApp umožňuje obísť funkciu, ktorá má chrániť tvoje súkromie. Prestaň ju používať a slepo jej dôverovať
Chyba vo WhatsApp umožňuje obísť funkciu „Vidieť iba raz“, ktorá má chrániť tvoje súkromie, upozorňuje bezpečnostný analytik. Pozri sa, ako sa dá ľahko obísť.
WhatsApp je v súčasnosti najväčšou chatovacou platformou na svete. Bezpečnostné diery či nedostatky v aplikácii majú preto obrovský potenciál ovplyvniť veľké množstvo ľudí. Na jednu takúto bezpečnostnú medzeru upozorňujú aj analytik zo zengo.com.
Možno aj ty si niekedy posielal cez WhatsApp citlivé informácie. Samozrejme, tieto informácie, určite nechceš, aby s nimi niekto neskôr pracoval.
Niekedy posielame citlivé informácie, ako sú napríklad fotografie niekomu druhému. Existuje ale funkcia, pomocou ktorej vieš zabezpečiť, aby ich osoba na druhej strane mohla vidieť iba raz a nie opakvane. Ide o režim „View once“, teda vidieť iba raz. Mimochodom, ide o nástroj, ktorý WhatsApp sprístupnil ešte v roku 2021.
Zatiaľ, čo tieto fotografie posielaš cez mobil, tak ich môžeš zobraziť iba jedenkrát a to bez ohľadu na to, či používaš Android alebo iOS. Problémom je v tomto prípade ale WhatsApp web. Keď ti príde na WhatsApp web jednorazová fotografia, tak ťa aplikácia upozorní, aby si si ju pozrel na mobile. Má to ale háčik, dá sa to obísť.
Funkcia „vidieť iba raz“ je v skutočnosti klam, nie je tak súkromnou, ako si myslíš
Keď ti príde správa v tomto režime, tak WhatsApp ju posiela ako „bežnú fotografiu“, ale s príznakom „vidieť iba raz“. Bezpečnostnému expertovi sa ale podarilo tento príznak zmeniť na nepravdu.
Neprehliadnite
Podarilo sa mu to pomocou vytvorenia vlastného (neoficiálneho) klienta WhatsApp postaveného na Baileys. Pre tých, ktorí nevedia, tak ide o knižnicu pre JavaScript, ktorá umožňuje komunikovať s WhatsApp API. Pomocou nej je možné vytvárať aplikácie, ako sú napríklad boty, ktoré interagujú s WhatsAppom a podobne. Tento nástroj je často používaný na automatizáciu úloh, ako je odosielanie správ, získavanie informácií z WhatsApp skupín, alebo vytváranie komplexných botov pre zákaznícku podporu a podobne.
Nižšie vo videu sa môžeš pozrieť na demonštráciu tejto chyby v praxi.
Ako si mohol vidieť, tak Tal Be’erymu sa podarilo správu nielenže vidieť na počítači, ale aj s ňou ďalej pracovať. Napríklad ju mohol stiahnuť či preposlať ďalej. Medzičasom Be’ery túto bezpečnostnú dieru nahlásil Mete, ktorá uznala jej existenciu. Aktuálne má spoločnosť pracovať na aktualizácii, ktorá by zabránila zneužitiu tejto chyby.
Mimochodom, na internete sú dostupné viaceré rozšírenia, ktoré ponúkajú obdobnú funkciou, pričom existujú viaceré z nich už viac ako jeden rok.
Prečo na tom záleží?
V každom prípade, možno niekto bude teraz namietať, že osoba na druhej strane si mohla takúto fotografiu zachytiť na ďalšie zariadenie a zdieľať ju ďalej. Je to síce pravda, ale kópie mohli byť vyhotovené len v analógovej kvalite. Pri využití tejto chyby, mohol útočník pracovať s fotografiou či videom v plnom rozlíšení.
„Predtým mohli mať útočníci iba „analógovú“ kópiu (strata kvality atď.), zatiaľ čo naše nové zistenia poskytujú presnú digitálnu repliku.“, upozorňuje bezpečnostný analytik.
V každom prípade, funkcia „vidieť iba raz“ je aktuálne len klamom. Dá sa totiž obísť. Všetko by mohla ale vyriešiť blížiaca sa aktualizácia aplikácie.
Komentáre