Parę dni temu na blogu fileperms został opublikowany wpis dotyczący luk w zabezpieczeniach znajdujących się w bardzo popularnym komunikatorze – WhatsApp. Okazuje się, że użytkownicy tej aplikacji muszą uważać na swoje dane, ponieważ dostęp do naszego konta może uzyskać osoba nieuprawniona do tego.

Jak informuje autor bloga problemów związanych z zabezpieczeniami jest kilka. Na początek wspomina on o tym, że wysyłane wiadomości nie są szyfrowane w żaden sposób i wszystko wysyłane jest  w postaci zwykłego tekstu. Tak, więc korzystając z publicznej sieci Wi-Fi, każda inna osoba będzie mogła podejrzeć co piszemy, jakie wiadomości otrzymujemy i jakie pliki wysyłamy. Firma podała, co prawda, że ich oprogramowanie będzie szyfrować wiadomości w kolejnej aktualizacji, ale po wydaniu jej okazało się, że numery telefonu komórkowego nadal przesyłane są w niezabezpieczonej postaci, a całe szyfrowanie nie działa tak jak powinno i ciągle można uzyskać dostęp do wrażliwych danych.

Kolejnym problemem, na który zwrócono uwagę w artykule jest uwierzytelnianie. Jak się okazuje w wersji na Androida hasło to hash MD5 odwróconego numeru IMEI. Jeżeli ktoś ma nasz telefon w ręku to dostęp do takich danych jest bezproblemowy i wystarczy chwila by ktokolwiek obeznany w temacie mógł uzyskać dostęp do naszych poufnych wiadomości. Fragment kodu, który za to odpowiada wygląda tak:

$imei = "112222223333334"; // example IMEI
$androidWhatsAppPassword = md5(strrev($imei)); // reverse IMEI and calculate md5 hash

Następnym minusem jaki WhatsApp zarabia związany jest z ochroną prywatności. Jak się okazuje aplikacja wysyła numery z naszej książki adresowej na serwery producenta i sprawdza, które numery są zarejestrowane w WhatsApp. Wygląda to mniej więcej tak:

 <?xml version="1.0" encoding="UTF-8"?>  <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">  <plist version="1.0">  <array>      <dict>          <key>P</key>          <string>1234567890</string>          <key>T</key>          <integer>10817</integer>          <key>S</key>          <string>Some Status Message</string>          <key>JID</key>          <string>23xxxxxxxxx</string>          <key>NP</key>          <true/>      </dict>  </array>  </plist>

Legenda:

Klucz P to numer telefonu użytkownika
Klucz T to prawdopodobnie uptime
Klucz S to status wiadomości użytkownika
Klucz JID to JabberID

Nie wiadomo jeszcze tylko co kryje się pod kluczem NP. Oczywiście wszystkie te informacje są jawne i podawane „jak na tacy”.

Ostatnim punktem zapalnym jest szyfrowanie lokalnej bazy danych, które mimo iż wymaga fizycznego dostępu do urządzenia lub do kopii zapasowej plików, pozwala uzyskać za pomocą prostego programu (lub skryptu) pełną historię rozmów jakie przeprowadziliśmy za pomocą WhatsApp.

Jak widzimy lista zarzutów skierowanych przeciwko tej aplikacji jest bardzo duża. Autor wpisu poleca nie korzystać z tej aplikacji jeżeli zależy nam na ochronie danych osobowych. Osobiście nie korzystałem jeszcze z tego programu. Uważam jednak, że każda taka informacja jest ważna, ponieważ czujnym trzeba być na każdym kroku. Również wtedy, kiedy program jest popularny i na pierwszy rzut oka nie zagraża naszemu bezpieczeństwu. Ciekawe również jak wiele jest innych aplikacji, które być może również nie dbają w należyty sposób o ochronę wysyłanych danych przez użytkowników.

Jaka jest Wasza opinia na ten temat? Czy takie zagrożenie jest dla Was nieistotne i uważacie, że Wasze rozmowy nie muszą być chronione? Czy jednak do takich sytuacji nie powinno dochodzić? Jeżeli są wśród Czytelników osoby, które korzystają z WhatsApp niech podzielą się również swoją opinią.

Źródło: http://fileperms.org

Google News
Obserwuj ANDROID.COM.PL w Google News i bądź zawsze na bieżąco!
Obserwuj

Cezary Zapała

W redakcji pracowałem od stycznia 2012 do maja 2013 roku. Wcześniej zaś pisałem do e-zinu ActionMag Komputery. Aktualnie jestem właścicielem agencji kreatywnej Media Machine. Wolny czas, którego niestety mam coraz mniej poświęcam na zgłębianie informacji z takich dziedzin jak prawo, webmastering, trendy w Sieci, marketing oraz inwestycje budowlane.