Bármilyen app beleolvashat a WhatsApp-csevegésekbe
Egyszerűen hozzáférhetők a WhatsApp-felhasználók beszélgetései más andoridos alkalmazások számára. Bas Bosschert biztonsági szakértő demonstrációja szerint még a kódolt adatbázisok sincsenek biztonságban, a szoftver ezen a téren gyakorlatilag nem rendelkezik védelemmel.
A WhatsApp világszerte mintegy 450 millió aktív felhasználójával igen népszerű chatalkalmazásnak mondható, ez alapján pedig az ember hajlamos abba a hitbe ringatni magát, hogy biztonságos is. Így szinte fölöslegesnek hangzik a kérdés, hogy vajon lehetséges-e a WhatsApp beszélgetésekhez más Android alkalmazásokból is hozzáférni? Erre a problémára igyekezett megoldást találni Bas Bosschert informatikai szakértő is, nyugtalanító válasza pedig tömören: igen, nagyon könnyen.
Bármilyen alkalmazásnak álcázható
A WhatsApp adatbázisát az SD kártyán tárolja, amelyhez bármely andoridos app hozzáférhet, ha a felhasználó engedélyezi számára az SD kártya elérését. Figyelembe véve, hogy átlagosan mennyi időt fordítunk egy-egy app telepítésekor az jogosultságok elolvasására, jó eséllyel mondható, hogy azt a nagy többség gondolkodás nélkül megengedi a legtöbb appnak. Bosschert elgondolása bizonyításához egy webszervert, valamint egy egyszerű php szkriptet használt, továbbá készített egy szimpla “Hello World” appot, amelyet felruházott az SD-kártyához való hozzáféréshez, illetve az online feltöltéshez szükséges jogokkal.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
Az alkalmazás a telepítés után három, a WhatsApp könyvtárában található adatbázisfájlt tölt fel a webszerverre, miközben egy töltőképernyőt mutat - de ez a funkcionalitás bármilyen egyéb appba beépíthető, példának okáért egy Flappy Bird-klónba, amelyet, miután a népszerű játékot készítője eltávolította a Play Store-ból, sokan külső forrásból telepíthető apk fájlként töltenek le, illetve a klónjai is nagyon népszerűek.
A kódolt tartalmak sem bújhatnak el
A WhatsApp adatbázisai SQLite3 formátumúak, amely könnyedén átkonvertálható Excel fájlba is az egyszerűség kedvéért. A három fájl egyike ugyan titkosított, így SQLite-tal nem nyitható meg, ám ez is egyszerűen feloldható egy Python-szkript segítségével, amelyet Bosschert egy, a csevegések archiválására szolgáló eszközből, a WhatsApp Xtractból szerzett meg. Ez a már ismerős SQLite3-má alakítja az egyébként kódolt adatbázist.
Ezután valószínűleg senkit nem fog meglepetésként érni Bas Bosschert következtetése, amely szerint semmi nem akadályozza meg az alkalmazásokat abban, hogy belepillantsanak a WhatsApp adataiba, de még a kódolt üzenetváltások is egyszerűen kibányászhatók az óvatlan felhasználó telefonjából. Pedig a majdnem félmilliárdos felhasználói bázis, és az a 19 milliárd dollár amiért a Facebook néhány hete az alkalmazást megvásárolta, ennél valamivel komolyabb biztonsági intézkedéseket indokolna.