Mellékleteink: HUP | Gamekapocs
Keres
Felhőből visszaköltözéstől egészen egy banki malware evolúciójáig. Üzemeltetői és IT-biztonsági meetupokkal érkezünk!

Bármilyen app beleolvashat a WhatsApp-csevegésekbe

Hlács Ferenc, 2014. március 13. 14:43
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Egyszerűen hozzáférhetők a WhatsApp-felhasználók beszélgetései más andoridos alkalmazások számára. Bas Bosschert biztonsági szakértő demonstrációja szerint még a kódolt adatbázisok sincsenek biztonságban, a szoftver ezen a téren gyakorlatilag nem rendelkezik védelemmel.

hirdetés

A WhatsApp világszerte mintegy 450 millió aktív felhasználójával igen népszerű chatalkalmazásnak mondható, ez alapján pedig az ember hajlamos abba a hitbe ringatni magát, hogy biztonságos is. Így szinte fölöslegesnek hangzik a kérdés, hogy vajon lehetséges-e a WhatsApp beszélgetésekhez más Android alkalmazásokból is hozzáférni? Erre a problémára igyekezett megoldást találni Bas Bosschert informatikai szakértő is, nyugtalanító válasza pedig tömören: igen, nagyon könnyen.

Bármilyen alkalmazásnak álcázható

A WhatsApp adatbázisát az SD kártyán tárolja, amelyhez bármely andoridos app hozzáférhet, ha a felhasználó engedélyezi számára az SD kártya elérését. Figyelembe véve, hogy átlagosan mennyi időt fordítunk egy-egy app telepítésekor az jogosultságok elolvasására, jó eséllyel mondható, hogy azt a nagy többség gondolkodás nélkül megengedi a legtöbb appnak. Bosschert elgondolása bizonyításához egy webszervert, valamint egy egyszerű php szkriptet használt, továbbá készített egy szimpla “Hello World” appot, amelyet felruházott az SD-kártyához való hozzáféréshez, illetve az online feltöltéshez szükséges jogokkal.

Az alkalmazás a telepítés után három, a WhatsApp könyvtárában található adatbázisfájlt tölt fel a webszerverre, miközben egy töltőképernyőt mutat - de ez a funkcionalitás bármilyen egyéb appba beépíthető, példának okáért egy Flappy Bird-klónba, amelyet, miután a népszerű játékot készítője eltávolította a Play Store-ból, sokan külső forrásból telepíthető apk fájlként töltenek le, illetve a klónjai is nagyon népszerűek.

A kódolt tartalmak sem bújhatnak el

A WhatsApp adatbázisai SQLite3 formátumúak, amely könnyedén átkonvertálható Excel fájlba is az egyszerűség kedvéért. A három fájl egyike ugyan titkosított, így SQLite-tal nem nyitható meg, ám ez is egyszerűen feloldható egy Python-szkript segítségével, amelyet Bosschert egy, a csevegések archiválására szolgáló eszközből, a WhatsApp Xtractból szerzett meg. Ez a már ismerős SQLite3-má alakítja az egyébként kódolt adatbázist.

Ezután valószínűleg senkit nem fog meglepetésként érni Bas Bosschert következtetése, amely szerint semmi nem akadályozza meg az alkalmazásokat abban, hogy belepillantsanak a WhatsApp adataiba, de még a kódolt üzenetváltások is egyszerűen kibányászhatók az óvatlan felhasználó telefonjából. Pedig a majdnem félmilliárdos felhasználói bázis, és az a 19 milliárd dollár amiért a Facebook néhány hete az alkalmazást megvásárolta, ennél valamivel komolyabb biztonsági intézkedéseket indokolna.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
4-4 klassz téma a HWSW júniusi üzemeltetői és IT-biztonsági meetupjain. Nézz meg a programot!