:

Szerző: Hlács Ferenc

2014. március 13. 14:43

Bármilyen app beleolvashat a WhatsApp-csevegésekbe

Egyszerűen hozzáférhetők a WhatsApp-felhasználók beszélgetései más andoridos alkalmazások számára. Bas Bosschert biztonsági szakértő demonstrációja szerint még a kódolt adatbázisok sincsenek biztonságban, a szoftver ezen a téren gyakorlatilag nem rendelkezik védelemmel.

A WhatsApp világszerte mintegy 450 millió aktív felhasználójával igen népszerű chatalkalmazásnak mondható, ez alapján pedig az ember hajlamos abba a hitbe ringatni magát, hogy biztonságos is. Így szinte fölöslegesnek hangzik a kérdés, hogy vajon lehetséges-e a WhatsApp beszélgetésekhez más Android alkalmazásokból is hozzáférni? Erre a problémára igyekezett megoldást találni Bas Bosschert informatikai szakértő is, nyugtalanító válasza pedig tömören: igen, nagyon könnyen.

Bármilyen alkalmazásnak álcázható

A WhatsApp adatbázisát az SD kártyán tárolja, amelyhez bármely andoridos app hozzáférhet, ha a felhasználó engedélyezi számára az SD kártya elérését. Figyelembe véve, hogy átlagosan mennyi időt fordítunk egy-egy app telepítésekor az jogosultságok elolvasására, jó eséllyel mondható, hogy azt a nagy többség gondolkodás nélkül megengedi a legtöbb appnak. Bosschert elgondolása bizonyításához egy webszervert, valamint egy egyszerű php szkriptet használt, továbbá készített egy szimpla “Hello World” appot, amelyet felruházott az SD-kártyához való hozzáféréshez, illetve az online feltöltéshez szükséges jogokkal.

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Az alkalmazás a telepítés után három, a WhatsApp könyvtárában található adatbázisfájlt tölt fel a webszerverre, miközben egy töltőképernyőt mutat - de ez a funkcionalitás bármilyen egyéb appba beépíthető, példának okáért egy Flappy Bird-klónba, amelyet, miután a népszerű játékot készítője eltávolította a Play Store-ból, sokan külső forrásból telepíthető apk fájlként töltenek le, illetve a klónjai is nagyon népszerűek.

A kódolt tartalmak sem bújhatnak el

A WhatsApp adatbázisai SQLite3 formátumúak, amely könnyedén átkonvertálható Excel fájlba is az egyszerűség kedvéért. A három fájl egyike ugyan titkosított, így SQLite-tal nem nyitható meg, ám ez is egyszerűen feloldható egy Python-szkript segítségével, amelyet Bosschert egy, a csevegések archiválására szolgáló eszközből, a WhatsApp Xtractból szerzett meg. Ez a már ismerős SQLite3-má alakítja az egyébként kódolt adatbázist.

Ezután valószínűleg senkit nem fog meglepetésként érni Bas Bosschert következtetése, amely szerint semmi nem akadályozza meg az alkalmazásokat abban, hogy belepillantsanak a WhatsApp adataiba, de még a kódolt üzenetváltások is egyszerűen kibányászhatók az óvatlan felhasználó telefonjából. Pedig a majdnem félmilliárdos felhasználói bázis, és az a 19 milliárd dollár amiért a Facebook néhány hete az alkalmazást megvásárolta, ennél valamivel komolyabb biztonsági intézkedéseket indokolna.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról