36.3 C
Athens
Σάββατο, 18 Σεπτεμβρίου, 2021

Προσοχή στο WhatsApp: Ευπάθεια θα μπορούσε να οδηγήσει σε έκθεση δεδομένων των χρηστών

Ένα πρόβλημα ασφαλείας στη λειτουργία image filter του WhatsApp θα μπορούσε να ανοίξει… τρύπα για τους χάκερς και τα προσωπικά δεδομένα των χρηστών.

Την ανακάλυψη έκανε το τμήμα έρευνας της Check Point Software Technologies: εφαρμόζοντας συγκεκριμένα φίλτρα φωτογραφίας σε μια ειδικά διαμορφωμένη εικόνα, προκύπτει πως κατά την αποστολή της ένας εισβολέας θα μπορούσε να εκμεταλλευτεί την ευπάθεια και να διαβάσει ευαίσθητες πληροφορίες από τη μνήμη WhatsApp.

Το WhatsApp είναι η πιο δημοφιλής εφαρμογή ανταλλαγής μηνυμάτων στον κόσμο με πάνω από 2 δισεκατομμύρια ενεργούς χρήστες. Ένας εισβολέας θα μπορούσε να εκμεταλλευτεί την ευπάθεια για να διαβάσει ευαίσθητες πληροφορίες από τη μνήμη του WhatsApp.

Λειτουργία Image Filter

Η ευπάθεια είχε τις ρίζες της στη λειτουργία image filter του WhatsApp. Η εισαγωγή φίλτρων σε μια φωτογραφία είναι μια διαδικασία μέσω της οποίας τα pixels της αρχικής εικόνας τροποποιούνται για να επιτύχουν ορισμένα οπτικά εφέ. Κατά τη διάρκεια της έρευνάς της, η CPR διαπίστωσε ότι η εναλλαγή μεταξύ διαφόρων φίλτρων σε διαμορφωμένα  αρχεία GIF θα προκαλούσε στην κυριολεξία τη συντριβή του WhatsApp.

Η Check Point αναγνώρισε την καταστροφή μνήμης ως ένα από τα ατυχή αποτελέσματα του προβλήματος. Για αυτό και ανέφερε αμέσως το πρόβλημα στο WhatsApp, το οποίο κατονόμασε για την ευπάθεια CVE-2020-1910, περιγράφοντας τη λεπτομερώς ως ένα εκτός ορίων ζήτημα ανάγνωσης και εγγραφής. Η επιτυχής εκμετάλλευση της ευπάθειας θα έδινε τη δυνατότητα σε έναν εισβολέα να εφαρμόσει συγκεκριμένα φίλτρα σε μια ειδικά διαμορφωμένη εικόνα και να προχωρήσει στην αποστολή της.

Βάσει των εκτιμήσεων περισσότερα από 55 δισεκατομμύρια μηνύματα αποστέλλονται καθημερινά μέσω του WhatsApp, με 4,5 δισεκατομμύρια φωτογραφίες και ένα δισεκατομμύριο βίντεο να διανέμονται την ημέρα.

Η ανακάλυψη 

Η Check Point αποκάλυψε τα ευρήματά του στο WhatsApp στις 10 Νοεμβρίου 2020. Το WhatsApp επαλήθευσε και αναγνώρισε το ζήτημα της ασφάλειας. Το WhatsApp ανέπτυξε μια ενημέρωση κώδικα στην έκδοση 2.21.2.13, περιγράφοντας το CVE-2020-1910 στην ενημερωμένη έκδοση February Security Advisory.

“Μόλις ανακαλύψαμε την ευπάθεια ασφαλείας, αναφέραμε γρήγορα τα ευρήματά μας στο WhatsApp, το οποίο ήταν ιδιαίτερα συνεργάσιμο στην έκδοση μιας ενημέρωσης κώδικα. Το αποτέλεσμα των συλλογικών προσπαθειών μας είναι ένα ασφαλέστερο WhatsApp για τους χρήστες σε όλο τον κόσμο”, ανέφερε ο Oded Vanunu, Head of Products Vulnerabilities Research στην Check Point Software.

To WhatsApp από την πλευρά του ανέφερε ότι συνεργάζεται τακτικά με ερευνητές ασφαλείας για να βελτιώσει τους πολυάριθμους τρόπους με τους οποίους προστατεύει τα μηνύματα των ανθρώπων.

Η εφαρμογή θεωρεί ότι οι χρήστες δεν πρέπει να έχουν καμία αμφιβολία ότι η κρυπτογράφηση από άκρο σε άκρο συνεχίζει να λειτουργεί όπως προβλέπεται και τα μηνύματα τους παραμένουν ασφαλή. «Αυτή η αναφορά περιλαμβάνει πολλά βήματα στα οποία θα έπρεπε να προβεί ένας χρήστης και δεν έχουμε λόγο να πιστεύουμε ότι οι χρήστες θα είχαν επηρεαστεί από αυτό το σφάλμα».

Σε κάθε περίπτωση, το WhatsApp αναγνωρίζει ότι ακόμη και τα πιο περίπλοκα σενάρια που εντοπίζουν οι ερευνητές μπορούν να βοηθήσουν στην αύξηση της ασφάλειας για τους χρήστες. «Όπως και με οποιοδήποτε τεχνολογικό προϊόν, συνιστούμε στους χρήστες να διατηρούν ενημερωμένες τις εφαρμογές και τα λειτουργικά τους συστήματα, να κατεβάζουν ενημερώσεις όποτε είναι διαθέσιμες, να αναφέρουν ύποπτα μηνύματα και να επικοινωνήσουν μαζί μας εάν αντιμετωπίσουν προβλήματα χρησιμοποιώντας το WhatsApp».

Κοινοποιηση αρθρου

Τελευταια Νεα

LG Electronics: Απολαύστε πλούσιο ήχο με το νέο Soundbar SP9YA

Πολλαπλές λειτουργίες για κινηματογραφικό ήχο surroundΤο νέο Soundbar SP9YA της LG Electronics (LG) κυκλοφόρησε στην ελληνική αγορά, για να ταιριάξει απόλυτα με τις LG...

Το νέο Nissan Qashqai είναι πανέτοιμο για να “τρέξει”  στον Μαραθώνιο της Ρώμης

Ως το Επίσημο “Εξηλεκτρισμένο” Αυτοκίνητο της διοργάνωσης, το νέο Nissan Qashqai θα διανύσει τα 42 χιλιόμετρα του Μαραθωνίου της Ρώμης,  την Κυριακή 19 ΣεπτεμβρίουΣτο...

ΤΑΙΠΕΔ: Υποβολή Εκδήλωσης Ενδιαφέροντος από εννέα επενδυτικά σχήματα για τον Οργανισμό Λιμένος Ηρακλείου

Το Ταμείο Αξιοποίησης Ιδιωτικής Περιουσίας του Δημοσίου (ΤΑΙΠΕΔ), εταιρεία μέλος του Υπερταμείου (ΕΕΣΥΠ) ανακοινώνει ότι εννέα ενδιαφερόμενα μέρη υπέβαλαν Εκδήλωση Ενδιαφέροντος για την απόκτηση...

Η Schneider Electric κατακτά την πρώτη θέση στον κλάδο για τη βιωσιμότητα από τον οργανισμό αξιολόγησης ESG ζητημάτων, Vigeo Eiris

 Η Schneider Electric συμπεριλαμβάνεται στον δείκτη FTSE4Good και Euronext Vigeo Eiris μεταξύ των παγκόσμιων ηγετών βιωσιμότηταςΗ Schneider Electric, πρωτοπόρος στον ψηφιακό μετασχηματισμό της...

Η νέα Honda CB500X MY22 έρχεται με εντυπωσιακά χρώματα, βελτιωμένες επιδόσεις και αναβαθμισμένη τεχνολογία

Η mini-adventurer μοτοσυκλέτα της Honda που είναι κατάλληλη για κατόχους διπλώματος Α2 βελτιώνεται σημαντικά με έμφαση στις επιδόσεις. Από τις πιο αξιοσημείωτες βελτιώσεις είναι...