Zdroj: Dotekománie
Domů » Články »
Vývojářský tým služby WhatsApp oznámil další krok ve snaze chránit soukromí a bezpečnost uživatelů. Novinkou je volitelné nastavení „Přísná nastavení účtu“, určené především pro uživatele ve zvýšeném riziku kybernetických útoků. Například novináře, aktivisty nebo veřejně činné osoby. WhatsApp zároveň odhalil, jak masivně nasazuje jazyk Rust pro zajištění bezpečné práce s médii napříč platformami.
Přísná nastavení účtu: vyšší ochrana pro uživatele v aplikaci WhatsApp
Nová funkce, kterou WhatsApp zavede postupně během několika týdnů, umožňuje uživatelům zapnout extra úroveň ochrany účtu. Pokud je tato volba aktivní, WhatsApp bude:
- blokovat přílohy a média od kontaktů, které nemáte uložené;
- zpřísňovat nastavení soukromí na nejvyšší možnou úroveň;
- dočasně omezovat některé funkce aplikace ve prospěch bezpečnosti;
Aktivaci lze provést v aplikaci WhatsApp v sekci Nastavení > Soukromí > Pokročilá nastavení.
Zdroj: WhatsApp Blog
Cílem této funkce je minimalizovat riziko zneužití zranitelných uživatelů prostřednictvím sofistikovaných útoků, včetně těch, které využívají škodlivé multimediální soubory či cílené exploity.
Rust: bezpečnostní novinka v jádru WhatsApp
WhatsApp oznámil, že ve snaze zamezit zneužití chyb v knihovnách pro zpracování médií nahrazuje původní C++ knihovny jejich přepsanou verzí v jazyce Rust. Ten je považován za jeden z nejbezpečnějších jazyků současnosti, zejména díky tzv. paměťové bezpečnosti (memory safety), která minimalizuje celou řadu závažných zranitelností.
Rust se ve WhatsApp nyní stará o kontrolu integrity a formátu mediálních souborů (obrázky, videa, PDF…), detekci škodlivého chování (např. podvržené přípony, embedované skripty v PDF). Rovněž zajišťuje automatické blokování známých rizikových typů souborů (např. .apk, .exe) a přináší systém detekce a prevence s názvem Kaleidoscope, který chrání před útoky skrze škodlivé přílohy.
Tato knihovna, původně zvaná wamedia, byla přepsána z 160 000 řádků C++ do 90 000 řádků v Rustu (včetně testů) a nasazena napříč platformami, od Androidu a iOS po macOS, web, a dokonce i zařízení s Wear OS. Dle vývojového týmu WhatsApp se jedná o největší nasazení Rustu na klientské straně v historii.
Proč WhatsApp přichází s tímto bezpečnostním krokem?
V roce 2015 odhalila chyba Stagefright v systému Android zranitelnost, která umožňovala útočníkům získat kontrolu nad zařízením pomocí upraveného multimediálního souboru. WhatsApp tehdy nemohl chybu přímo opravit. To, zdali bylo možné opravit chybu záviselo na tom, zda uživatel aktualizuje celý operační systém.
Zdroj: Meta
To vedlo k rozhodnutí hledat trvalé řešení, které bude fungovat i při neopraveném systému. Výsledkem je posun k bezpečnějšímu jazyku, lepší detekci anomálií a automatickému filtrování podezřelých souborů.
Dlouhodobá bezpečnostní strategie
WhatsApp tímto krokem deklaruje, že ochrana uživatelů není jen o šifrování zpráv byť tento bezpečnostní prvek i nadále zůstává základem (end-to-end šifrování pro více než 3 miliardy uživatelů). Bezpečnostní tým WhatsApp aktivně:
- provádí interní i externí bezpečnostní audity,
- využívá nástroje pro fuzzing, statickou analýzu a řízení rizik v dodavatelském řetězci,
- rozšiřuje svůj Bug Bounty program, včetně nástroje WhatsApp Research Proxy,
- nahrazuje vývoj nového kódu v C/C++ právě jazykem Rust jako výchozí volbou.
Díky tomu může WhatsApp rychleji reagovat na nové hrozby, chránit uživatele před útoky typu zero-day a aktivně předcházet zneužití zranitelností. A to i pokud uživatelé používají starší verze operačních systémů.
Zdroje: blog.whatsapp.com, engineering.fb.com
Domů » Články »
Nahrávání ...Jakub Sobotka
Senior Editor jehož vášní jsou AI, mobilní technologie a vše kolem IT. Ve volném čase rád sportuje, čte, nebo se toulá přírodou. Ač uživatel Apple platformy, dobře si rozumí i s Androidem.
Komentáře