Szerző: Hlács Ferenc

2014. március 13. 14:43:00

Bármilyen app beleolvashat a WhatsApp-csevegésekbe

Egyszerűen hozzáférhetők a WhatsApp-felhasználók beszélgetései más andoridos alkalmazások számára. Bas Bosschert biztonsági szakértő demonstrációja szerint még a kódolt adatbázisok sincsenek biztonságban, a szoftver ezen a téren gyakorlatilag nem rendelkezik védelemmel.

A WhatsApp világszerte mintegy 450 millió aktív felhasználójával igen népszerű chatalkalmazásnak mondható, ez alapján pedig az ember hajlamos abba a hitbe ringatni magát, hogy biztonságos is. Így szinte fölöslegesnek hangzik a kérdés, hogy vajon lehetséges-e a WhatsApp beszélgetésekhez más Android alkalmazásokból is hozzáférni? Erre a problémára igyekezett megoldást találni Bas Bosschert informatikai szakértő is, nyugtalanító válasza pedig tömören: igen, nagyon könnyen.

Bármilyen alkalmazásnak álcázható

A WhatsApp adatbázisát az SD kártyán tárolja, amelyhez bármely andoridos app hozzáférhet, ha a felhasználó engedélyezi számára az SD kártya elérését. Figyelembe véve, hogy átlagosan mennyi időt fordítunk egy-egy app telepítésekor az jogosultságok elolvasására, jó eséllyel mondható, hogy azt a nagy többség gondolkodás nélkül megengedi a legtöbb appnak. Bosschert elgondolása bizonyításához egy webszervert, valamint egy egyszerű php szkriptet használt, továbbá készített egy szimpla “Hello World” appot, amelyet felruházott az SD-kártyához való hozzáféréshez, illetve az online feltöltéshez szükséges jogokkal.

Python everywhere! Gyere Pythonozni a HWSW rendezvényeire! Megmutatjuk, hogy a Python nem csak a fejlesztők nyelve, hiszen egyszerűsége miatt bárhol és bárki használhatja.

Az alkalmazás a telepítés után három, a WhatsApp könyvtárában található adatbázisfájlt tölt fel a webszerverre, miközben egy töltőképernyőt mutat - de ez a funkcionalitás bármilyen egyéb appba beépíthető, példának okáért egy Flappy Bird-klónba, amelyet, miután a népszerű játékot készítője eltávolította a Play Store-ból, sokan külső forrásból telepíthető apk fájlként töltenek le, illetve a klónjai is nagyon népszerűek.

A kódolt tartalmak sem bújhatnak el

A WhatsApp adatbázisai SQLite3 formátumúak, amely könnyedén átkonvertálható Excel fájlba is az egyszerűség kedvéért. A három fájl egyike ugyan titkosított, így SQLite-tal nem nyitható meg, ám ez is egyszerűen feloldható egy Python-szkript segítségével, amelyet Bosschert egy, a csevegések archiválására szolgáló eszközből, a WhatsApp Xtractból szerzett meg. Ez a már ismerős SQLite3-má alakítja az egyébként kódolt adatbázist.

Ezután valószínűleg senkit nem fog meglepetésként érni Bas Bosschert következtetése, amely szerint semmi nem akadályozza meg az alkalmazásokat abban, hogy belepillantsanak a WhatsApp adataiba, de még a kódolt üzenetváltások is egyszerűen kibányászhatók az óvatlan felhasználó telefonjából. Pedig a majdnem félmilliárdos felhasználói bázis, és az a 19 milliárd dollár amiért a Facebook néhány hete az alkalmazást megvásárolta, ennél valamivel komolyabb biztonsági intézkedéseket indokolna.

a címlapról

bye-bye

5

Átalakul a Nokia menedzsmentje

2020. február 19. 13:44

Megszűnt a műszaki vezérigazgató-helyettesi pozíció, a cég próbál feljönni riválisaira.

Hirdetés

Python everywhere!

2020. február 20. 13:26

Gyere Pythonozni a HWSW rendezvényeire! Megmutatjuk, hogy a Python nem csak a fejlesztők nyelve, hiszen egyszerűsége miatt előszeretettel használják az üzemeltetők és DevOps szakemberek, tesztelők, illetve az adattudósok is, és elfut szinte bárhol, a mikrovezérlőktől egészen a böngészőkig.