Berta Sándor
Hamisíthatók a WhatsApp chatbeszélgetései
A feltárt súlyos hiba visszaélésekre adhat okot, de a fejlesztők mégsem készítenek hozzá frissítést. A sebezhetőségről a The New York Times számolt be.
A Check Point nevű IT-biztonsági cég súlyos sebezhetőséget talált a népszerű kommunikációs szolgáltatásban. A WhatsApp ugyanakkor nem osztotta az aggodalmakat, nem reagált a bejelentésre és a hiányosság befoltozásával sem akar foglalkozni. A biztonsági szakemberek által felfedezett hiba lehetővé teszi, hogy a csoportos chatbeszélgetéseket különböző módokon lehessen manipulálni. Az, hogy ezeknek a lépéseknek később lesznek-e következményeik, kizárólag a csoportok tagjaitól függ.
Amennyiben sikerül kihasználni a hiányosságot, úgy az elkövetők kijátszhatják a csoportos chatek idézetekkel kapcsolatos funkcióját és átírhatják más emberek üzeneteit - akár teljesen ellentétes tartalmúra is. Emellett lehetőség nyílhat olyan üzenetek megfogalmazására és elküldésére is, amelyek teljesen olyannak néznek ki, mint a csoporttagok üzenetei, de csak bizonyos címzettek kapják meg azokat. Amennyiben az illető válaszol azokra az üzenetekre, akkor a válasza már minden csoporttag számára láthatóvá válik. Ezáltal többek között össze lehet zavarni vagy egymásnak lehet uszítani a csoporttagokat.
Ez kisebb csoportok esetében még nem feltétlenül nagy probléma, de egy több száz fős csoportnál már komoly következményekkel járhat. Bár a végpontok közötti titkosítás védelmet jelent, de nem akadályozza meg az ilyen jellegű visszaéléseket. Olyan személy nevében is készíthető üzenet, aki nem tagja egy csoportnak. A szakemberek ugyanakkor rámutattak arra is, hogy a felhasználók figyelmetlensége szintén kell az ilyen akciókhoz. Egy adminisztrátor azonban gyorsan kiszúrhatja, ha valaki nem csoporttag.
Van viszont egy másik lehetőség is. Bárki küldhet magán chatbeszélgetésekben akár önmagának is válaszokat. Ilyen módon elkészíthető akár egy teljes beszélgetés vagy üzenetváltás is. Igaz, ebben az esetben a tartalom csak az elkövető készülékén jeleníthető meg, de az mégis felhasználható az emberek összezavarására. A Check Point kutatói úgy vélték, hogy a probléma kiemelt fontosságú, de a WhatsApp illetékesei ezt másképp gondolják. Carl Woog, a vállalat szóvivője közölte, hogy alaposan megvizsgálták az információkat, de a sebezhetőséget megszüntető külön frissítést nem akarnak kiadni. Ráadásul nemrég már foganatosítottak intézkedéseket az álinformációk ellen és törlik azokat a felhasználói fiókokat, amelyek kéretlen üzeneteket terjesztenek.
Oded Vanunu, a Check Point biztonsági kutatási részlegének vezetője hangsúlyozta, hogy nem mondják azt, hogy a WhatsApp rossz alkalmazás, de a felhasználók nagyon figyeljenek oda akkor, ha egy felkavaró üzenetet kapnak.
A Check Point nevű IT-biztonsági cég súlyos sebezhetőséget talált a népszerű kommunikációs szolgáltatásban. A WhatsApp ugyanakkor nem osztotta az aggodalmakat, nem reagált a bejelentésre és a hiányosság befoltozásával sem akar foglalkozni. A biztonsági szakemberek által felfedezett hiba lehetővé teszi, hogy a csoportos chatbeszélgetéseket különböző módokon lehessen manipulálni. Az, hogy ezeknek a lépéseknek később lesznek-e következményeik, kizárólag a csoportok tagjaitól függ.
Amennyiben sikerül kihasználni a hiányosságot, úgy az elkövetők kijátszhatják a csoportos chatek idézetekkel kapcsolatos funkcióját és átírhatják más emberek üzeneteit - akár teljesen ellentétes tartalmúra is. Emellett lehetőség nyílhat olyan üzenetek megfogalmazására és elküldésére is, amelyek teljesen olyannak néznek ki, mint a csoporttagok üzenetei, de csak bizonyos címzettek kapják meg azokat. Amennyiben az illető válaszol azokra az üzenetekre, akkor a válasza már minden csoporttag számára láthatóvá válik. Ezáltal többek között össze lehet zavarni vagy egymásnak lehet uszítani a csoporttagokat.
Ez kisebb csoportok esetében még nem feltétlenül nagy probléma, de egy több száz fős csoportnál már komoly következményekkel járhat. Bár a végpontok közötti titkosítás védelmet jelent, de nem akadályozza meg az ilyen jellegű visszaéléseket. Olyan személy nevében is készíthető üzenet, aki nem tagja egy csoportnak. A szakemberek ugyanakkor rámutattak arra is, hogy a felhasználók figyelmetlensége szintén kell az ilyen akciókhoz. Egy adminisztrátor azonban gyorsan kiszúrhatja, ha valaki nem csoporttag.
Van viszont egy másik lehetőség is. Bárki küldhet magán chatbeszélgetésekben akár önmagának is válaszokat. Ilyen módon elkészíthető akár egy teljes beszélgetés vagy üzenetváltás is. Igaz, ebben az esetben a tartalom csak az elkövető készülékén jeleníthető meg, de az mégis felhasználható az emberek összezavarására. A Check Point kutatói úgy vélték, hogy a probléma kiemelt fontosságú, de a WhatsApp illetékesei ezt másképp gondolják. Carl Woog, a vállalat szóvivője közölte, hogy alaposan megvizsgálták az információkat, de a sebezhetőséget megszüntető külön frissítést nem akarnak kiadni. Ráadásul nemrég már foganatosítottak intézkedéseket az álinformációk ellen és törlik azokat a felhasználói fiókokat, amelyek kéretlen üzeneteket terjesztenek.
Oded Vanunu, a Check Point biztonsági kutatási részlegének vezetője hangsúlyozta, hogy nem mondják azt, hogy a WhatsApp rossz alkalmazás, de a felhasználók nagyon figyeljenek oda akkor, ha egy felkavaró üzenetet kapnak.