BezpečnosťSpravodajstvo

Je WhatsApp naozaj tak bezpečný, ako si myslíme? Takto ho môžu hackeri napadnúť!

WhatsApp je jednou z najpopulárnejších četovacích aplikácií, preto je aj terčom mnohých hackerov.

WhatsApp je jednou z najpopulárnejších četovacích aplikácií. Jej hlavnou výhodou sú najmä šifrované správy, no napriek tomu má aj niekoľko nedostatkov, prostredníctvom ktorých môže útočník získať prístup k vašim kontaktom, alebo citlivým informáciám.

Portál Makeuseof prináša niekoľko spôsobov, prostredníctvom ktorých môže útočník hacknúť vašu aplikáciu a získať prístup k dátam, ktoré v nej máte uložené.

Odoberajte Vosveteit.sk cez Telegram a prihláste sa k odberu správ

Diaľkové spustenie kódu cez GIF

V októbri 2019 sa objavila hrozba, ktorá umožnila útočníkovi získať kontrolu nad vašou aplikáciou pomocou infikovaného GIF obrázku. Táto slabina vznikla kvôli spôsobu, akým aplikácia spracúva obrázky, keď užívateľ otvorí galériu.

GIF obrázky sú v tomto špeciálne, pretože ide o niekoľko obrazov. Škodlivý kód sa teda môže ukrývať priamo v ňom. Ak hacker pošle škodlivý GIF svojej obeti, mohol by získať prístup k celej vašej četovej histórii. Facebook túto slabinu opravil v aktualizácii 2.19.230.

Útok Pegasus

Išlo o obzvlášť zákernú formu útoku, ktorá sa odohrávala pomocou hlasového hovoru. Vaše zariadenie mohlo byť zasiahnuté aj v prípade, ak ste hovor nezdvihli. Tento útok fungoval tak, že útočník poslal aplikácii také množstvo kódu, že jednoducho „pretiekol“ a zapísal sa aj tam, kde nemal. To umožnilo útočníkovi získať nad aplikáciou kontrolu.

Hacker v ďalšom kroku nainštaloval do vášho zariadenia spyware Pegasus, ktorý zaznamenával vaše hovory, správy, ale aj fotografie a videá. Útočníkovi dokonca umožnil zapnúť kameru, alebo mikrofón smartfónu. Aj táto slabina však bola odhalená a zaplátaná.

Sociálne inžinierstvo

Nie každý útok môže byť výsledkom šikovne postaveného malvéru. Útočníci častokrát využívajú rôzne psychologické triky na to, aby od vás získali informácie. Jedným zo „sociálnych útokov“ je aj FakesApp. Táto metóda podvodu umožnila útočníkom pozmeniť reálne správy, ktoré napísali iní ľudia. Pri tomto útoku hackeri využili funkciu preposielania citácií v skupinových rozhovoroch, kde pozmenili pôvodný text.

Po prvýkrát bol tento druh podvodu objavený v roku 2018, no zatiaľ nebol vyriešený.

No ide len o jednu z mnohých techník sociálneho inžinierstva. Podstata tohto útoku spočíva v tom, že útočník vás zmanipuluje, aby ste vykonali určitý krok a ignorovali ste bezpečnostné hlásenia alebo ste nevenovali pozornosť rôznym rizikám. Môže sa napríklad vydávať za osobu, ktorú dobre poznáte. Prípadne sa môže dostať k účtu vášho priateľa, cez ktorý bude s vami komunikovať. Tých možností je skutočne veľa. Vo všeobecnosti by sme preto nemali klikať na odkazy, o ktorých máme podozrenie, že môžu byť škodlivé. Tiež by sme bezhlavo nemali zdieľať rôzne súťaže či stránky a podobne.

Kradnutie súborov

WhatsApp aj Telegram ukladajú fotografie a videá na interné úložisko vášho zariadenia. To môžu útočníci využiť, ak sa im podarí dostať do vášho zariadenia malvér cez zdanlivo neškodnú aplikáciu. Tento softvér monitoruje vašu komunikáciu a keď zistí, že vám prišla fotka, vymení ju za iný súbor, ktorý je predprogramovaný, aby robil určité kroky. Jedným riešením je vypnúť si v nastaveniach automatické ukladanie fotiek. Ako sme ale vyššie spomínali, tak tu musí byť predpoklad, že máme v telefóne už nainštalovaný škodlivý kód.

„Únos aplikácie“

Prejdime k aplikáciám tretích strán, ktoré ak majú široké povolenia, tak sú potenciálne schopné kradnúť správy z upozornení v telefóne. Každej aplikácií, ktorej udelíte napríklad prístup k upozorneniam, tak budú môcť sledovať správy, ktoré ste obdržali. Tento útok je typický najmä pri inštalácií aplikácií z iných zdrojov ako je Obchod Play. No treba povedať, že aj aplikácie z Google Play, ktoré pristupujú k upozorneniam v smartfóne, môžu potenciálne odosielať notifikácie na server tretej strany. Zároveň treba ale prízvukovať, že nejde len o oprávnenie prístupu k upozorneniam. Útočník môže potenciálne pristupovať aj k úložisku pamäte či k iným častiam zariadenia.

V súvislosti s týmto útokom treba spomenúť, že ak má útočník prístup k upozorneniam, tak je schopný nanovo registrovať váš účet. Postačí mu k tomu prečítať si len overovaciu SMS, ktorá sa vám zobrazí v upozornení! Preto je vhodné, aby ste mali zapnutú funkciu dvojfaktorovej autentifikácie do vášho účtu v kombinácii s dodatočnou vrstvou overenia vášho čísla pri znovu aktivovaní účtu. Ide konkrétne o funkciu dvojfázového overenia.

Falošné WhatsApp Aplikácie

Možno si ešte spomeniete na WhatsApp Pink. Išlo o aplikáciu, ktorá sľubovala extra funkcie pre WhatsApp. A hoci to aj splnila, tak robila aj „neplechu“ na pozadí. Aplikácia rozosielala správy kontaktom s vírusom, ktorého cieľom bolo zhromažďovať údaje o používateľoch.

WhatsApp Web

Možno ste to nevedeli, ale WhatsApp môžete používať aj na desktope. Útočníkovi, aby sa dostal k vašim správam, stačí získať prístup k vášmu smartfónu a zosnímať QR kód na internete, čím prepojí váš účet s webovým rozhraním služby. Následne môže pristupovať k vašim správam a prípadne ich aj odosielať.

WhatsApp Web_1
Zdroj: Vosveteit.sk (printscreen)

Zálohy komunikácie

Ďalším častým typom útoku, ako sa dostať k správam používateľa, je pomocou ukradnutia zálohy. Zálohovanie správ je šikovná funkcia a to najmä ak meníte jeden telefón za druhý alebo ho stratíte, a nechcete prísť o komunikáciu. No tieto zálohy sú potenciálnym zdrojom informácií pre hackerov. Preto by ste ich nemali ukladať lokálne a rovnako by ste ich nemali ukladať v cloudových službách, ku ktorým má niekto cudzí prístup. V ideálnom prípade by ste ich mali okrem iného šifrovať.

záloha WhatsApp logo
Zdroj: vosveteit.sk

Samozrejme, hackeri môžu nájsť aj inú cestu do vášho WhatsApp účtu, no metódy vyššie sú najčastejšie.

Prihláste sa k odberu správ z Vosveteit.sk cez Google správy
Tagy
Zobraziť komentáre
Close
Close