Prawdopodobny błąd w WhatsApp mógł ujawnić wiadomości z konta

17 01 2019

WhatsApp, popularny komunikator, prawdopodobnie zawiera błąd, który umożliwia dostęp do wiadomości innej osoby, kiedy w urządzeniu znajduje się karta SIM z przypisanym numerem poprzedniego właściciela. Czy to w ogóle możliwe? O podobnym problemie duplikowania numeru telefonu przez operatorów komórkowych pisał Niebezpiecznik.pl, z tą różnicą, że w tym przypadku mamy do czynienia ze zwolnieniem numeru telefonu od poprzedniego właściciela i przypisaniu go nowemu użytkownikowi.

Abby Fuller, pracownik Amazona odpowiedzialna m.in. za usługę AWS, opublikowała 11 stycznia następujący wpis na Twitterze:

Wynika z niego, że po zalogowaniu się do WhatsApp za pomocą numeru telefonu, który poprzednio należał do kogoś innego, możliwy jest odczyt prowadzonych konwersacji przez tę osobę. W dodatku istnieje szansa, że nowy właściciel numeru będzie otrzymywał wiadomości skierowane do poprzedniego użytkownika, jeżeli te nie zostały dostarczone (jeśli np. konto WhatsApp było przepełnione).

Sprawa jest interesująca. Jej wyjaśnienie nie jest łatwe, ale podjął się go Mohit Kumar, redaktor naczelny The Hacker News. Twierdzi, że poprzedni właściciel wciąż korzystał z konta, w momencie, kiedy Abby Fuller otrzymała nowy numer telefonu.

That means, it is likely possible that the old owner of that SIM was still using his WhatsApp account after dumping the SIM number until Fuller recently configured the same number and verified the account using the OPT received on her phone.

Sugeruje to, że wiadomości, które Abby Fuller znalazła na jej nowo utworzonym koncie WhatsApp, były prawdopodobnie tylko niedostarczonymi wiadomościami wysłanymi przez poprzedniego właściciela.

WhatsApp powszechnie uznawany jest za dosyć bezpieczny komunikator, wspierający szyfrowanie end-to-end. Często spotykamy się z taką opinią, ale ostatnio zbyt dużo jest doniesień na temat nieprawidłowości działania algorytmów odpowiedzialnych za prywatność. Dobrym pod względem prywatności jest UseCrypt Messenger. Jego wdrożenie może objąć serwery klienta i zostawić w rękach firmy całą wiedzę o działaniu. Mocne szyfrowanie użyte w UseCrypt skutecznie zabezpieczy dane, a Panic Code wymaże konwersacje po aktywacji tej funkcji.

WhatsApp bug?

Jeśli preferujemy darmowe rozwiązania, to WhatsApp oczywiście nadaje się do zwykłych zastosowań. Jednak biorąc pod uwagę odkrytą nieudokumentowaną(?) funkcjonalność, należy pomyśleć o utwardzeniu konta. Przede wszystkim warto zmienić hasło na mocne i unikalne, czyli takie, które nie jest używane w innych serwisach. Po drugie lepszą niż nic jest metoda weryfikacji dwuetapowej, np. za pomocą przestarzałych kodów SMS. WhatsApp wciąż nie wspiera integracji z Yubikey NFC, ale mamy nadzieję, że to tylko kwestia czasu.

WhatsApp, w odróżnieniu na przykład od FB Messengera (oferuje takie zabezpieczenie, ale nie jest włączone domyślnie i jest dostępne tylko dla systemu Android), szyfruje wiadomości przechowywane na swoich serwerach. Jednak użytkownikom chcącym zachować najwyższy poziom bezpieczeństwa zalecamy korzystanie z Signal, UseCrypt Messenger lub innego komunikatora wyszczególnionego w tej tabelce (zobacz cały artykuł).

Tradycyjna forma komunikacji w Internecie, czyli poczta lub IRC, powoli odchodzi do lamusa. Wiele firm implementuje na swoich stronach komunikatory. Zwykle jego rolę pełni FB Messenger lub Telegram lub dedykowane rozwiązanie innego producenta, np. Intercom. Do normalnego kontaktu te narzędzia spełniają swoje zadanie. Poza tym trudno znaleźć aktywnego użytkownika globalnej sieci bez konta na Facebooku.

Komunikatory oferujące lepsze zabezpieczenia powinny znaleźć się na urządzeniach polityków, celebrytów, managerów czy dziennikarzy. Nie ochronią jednak przed prostym keyloggerem czy dobrze przygotowanym spear phishingiem (wyłudzanie danych ukierunkowane na konkretną osobę czy organizację). Dlatego tak istotna jest analiza zagrożeń i zastosowanie odpowiednich rozwiązań. Czasami wystarczy antywirus, a czasami konieczna będzie zapora sieciowa lub zaawansowane narzędzia do monitorowania systemu.

Przypadek z WhatsApp uczy (lub przypomina), że idealne rzeczy nie istnieją. Musimy zastanowić się, jakie informacje przesyłamy za pomocą komunikatorów. Jeśli prowadzimy zwykłą rozmowę ze znajomymi, to osoba postronna, która weszła w posiadanie takich wiadomości, raczej niewiele może zrobić. Z kolei przesyłanie ważnych plików za pomocą popularnych czatów nie jest rozsądne. Chcąc zachować bezpieczeństwo, można wykorzystać klucze PGP, przez co drastycznie zwiększymy integralność i poufność danych.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl
guest
1 Komentarz
Inline Feedbacks
View all comments
Tomasz K.
Tomasz K.
2 lat temu

Interesujące. Teoretyczny atak na wybranego posła albo osobę o podwyższonym ryzyku operacyjnym > poznać numer telefonu i spróbować zamówić duplikat SIM u operatora. No i liczyć, że korzystali z WhatsApp. To chyba ten sam atak publikowany przez kilka portali niedawno o przechwytywaniu kodów SMS z przelewów bankowych. W tym ataku chodzi o przejęcie ważnych wiadomości a nie o kradzież pieniędzy.

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

Porównanie rozwiązań ochronnych

DLA GOSPODARSTWA DOMOWEGO I MIKRO FIRMY

Dlaczego korzystamy z dHosting?

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

RAPORT
Cyberbezpieczeństwo:
Trendy 2021

Już dostępny!

Dlaczego korzystamy
z dHosting?

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone