WhatsApp je nejpoužívanější komunikační platforma na světě. A právě proto je lákavým cílem pro útočníky. Tým Google Project Zero nyní zveřejnil neopravenou bezpečnostní chybu ve verzi pro Android, která umožňuje nepozorovaný útok bez interakce ze strany oběti.
WhatsApp pro Android obsahuje kritickou chybu
Bezpečnostní analytik Brendon Tiszka z Google Project Zero podrobně popsal způsob, jakým lze chybu zneužít. Útočník vytvoří skupinový chat na WhatsAppu a přidá do něj vyhlédnutou oběť a někoho z jejích kontaktů. Následně z tohoto kontaktu udělá administrátora skupiny a pošle do skupiny škodlivý soubor.
Tento soubor se v základním nastavení automaticky stáhne do zařízení oběti. Konkrétně do systémové databáze MediaStore. Pokud je škodlivý soubor technicky vyspělý, může po stažení zneužít další zranitelnosti a získat přístup k systému bez jakékoli akce uživatele.
Meta chybu neopravila včas, Google ji zveřejnil
Tato chyba byla nahlášena společnosti Meta 1. září minulého roku, přičemž Google poskytl tradiční 90denní lhůtu na opravu. Když k 30. listopadu oprava stále nebyla kompletně vydaná, byla zranitelnost zveřejněna. Meta sice částečně problém ošetřila serverovou záplatou, ale úplná oprava zatím chybí. Od 4. prosince loňského roku nebyl v oficiálním bezpečnostním ticketu zaznamenán žádný další pokrok.
Zdroj: WhatsApp
Tato konkrétní chyba se týká pouze Android verze aplikace WhatsApp. Na iOS a dalších zatím podobné zranitelnosti popsány nebyly.
Jak se chránit?
Přestože se jedná o vážnou zranitelnost, existují dvě jednoduchá opatření, kterými se můžete chránit:
- Vypnout automatické stahování médií.
- Otevřete Nastavení → Úložiště a data → Automatické stahování médií.
- Zakažte stahování pro mobilní data, Wi-Fi i roaming.
- Zapněte pokročilé zabezpečení chatu.
- Vstupte do skupinového chatu → klepněte na tři tečky vpravo nahoře → Informace o skupině → zapněte Pokročilé zabezpečení chatu.
Tato nastavení zajistí, že žádný mediální soubor nebude stažen bez vašeho svolení a zamezí přístupu neověřeným osobám ke správě skupin.
Nejde o první případ, kdy byl WhatsApp cílem sofistikovaného útoku. Meta již v minulosti přiznala jinou zranitelnost související s přílohami, což naznačuje, že mediální obsah ve WhatsApp je dlouhodobě atraktivní oblastí pro kybernetické útoky.
Zdroj: neowin.net