Эксперту по вопросам безопасности Басу Босшерту (Bas Bosschert) удалось обнаружить в мессенджере Whatsapp уязвимость, которая позволяет любому приложению, установленному на Android-устройстве, перехватывать и расшифровывать всю переписку пользователя.
База данных Whatsapp сохраняется на SD-карте, информацию с которой могут считывать Android-приложения, если пользователь предоставляет им доступ к SD-карте. И, поскольку большинство людей предоставляют его всему, что содержится на Android-устройстве, это не так уж и сложно, - следует из анализа специалиста.
Для сохранения базы данных Бас использовал web-сервер с простым php-скриптом с конфигурацией php.ini, благодаря которой возможна загрузка файлов.
«Затем потребуется Android-приложение, которое загрузит базу данных Whatsapp на web-сайт. Я создал новый стандартный проект на Eclipse и внес несколько изменений. Прежде всего, необходимо получить некоторые дополнительные права для того, чтобы получить доступ к SD-карте и загружать файлы… С этой целью я добавил несколько строк в файл AndroidManifest.xml», - сообщает Босшерт.
Стоит отметить, что ранее все переписки хранились в обычном текстовом формате, однако сейчас приложение зашифровывает базы данных, которые хранят сообщения. Для их расшифровки Бас использовал скрипт Python с задействованием алгоритма блочного шифрования AES, полученного из Whatsapp Xtract. Последний является инструментом, который создает резервные копии чатов и передает их на компьютер. Как утверждает Босшерт, процесс дешифрования упрощается тем, что для всех пользователей, судя по всему, используется одинаковый ключ шифрования.
Несмотря на то, что Whatsapp выпустил обновления, описанная выше уязвимость не была исправлена. Впрочем, сами пользователи сервиса обмена мгновенными сообщениями утверждают, что изложенные действия можно осуществить только в том случае, если функция резервного копирования активирована. Отметим, что она по умолчанию выключена.
Источник: SecurityLab
|