Biztonság Színes

2019-ben (is) tálcán kínálta fel privát szférádat a WhatsApp

Sokak számára már évek óta nyilvánvaló: közönséges átjáróház a WhatsApp és a többi Facebook-termék. De máshol is vannak gondok.

Elképesztő hibák tátonganak a Facebook tulajdonában álló WhatsApp alkalmazásban, de magában a Facebookban is. Sőt az Android és az Apple rendszerei is mind érintettek az elmúlt hónapok botrányaiban, melyekben az a közös, hogy a felhasználók tudtuk és közreműködésük nélkül válhatnak megfigyelés tárgyává.

Tehát már arra sincs szükség, hogy egy kártékony kódot lefuttassunk, vagyis ráutaló jelleggel valami felelőtlenséget műveljünk. Elég szimplán használnunk készülékeinket, biztonságosnak hitt alkalmazásainkat. Egy videó megnézése, vagy akár már egy nem fogadott hívás is megnyithatja a bűnözők korlátlan hozzáférését legszemélyesebb adataikhoz. A hátsó ajtók nyitott állapotban tátonganak a rendszerekben, a kamerák engedély nélkül elindulnak, külsős fejlesztők látják azt, amit nem kellene, hekkerek adják-veszik adatainkat.

Közös még, hogy a felfedezett biztonsági „rések” hírei semmilyen ingerküszöböt nem érnek el a médiában, az ilyen jellegű cikkek megtekintés- és megosztásszáma mindössze a töredéke (tizede, százada) a népszerűbb cikkek olvasottsági adatainak. Az alábbiakban nem is vállalkozunk arra, hogy a teljes 2019-es évet áttekintsük, megelégszünk mindössze az utolsó néhány hónappal.

Hogy volt?!

2019. november 5.

A Facebook hivatalos közleményben ismerte el, hogy akár 100 külsős fejlesztő is ráláthatott néhány Facebook-csoport tagjának személyes adataira. Ez a lehetőség elvileg már másfél éve nem lenne lehetséges, a rendszer mégis lehetővé tette ezt, és a Facebook észlelt is hozzáféréseket, ezért befoltozta a kiskaput. Azt mondták viszont, nem találtak arra utaló jelet, hogy az érintett a fejlesztők vissza is éltek volna a megszerzett adatokkal.

2019. november 13.

A PCWorld arról számolt be, hogy a Facebook titokban, engedély nélkül használja az iPhone-ok kameráját. A „hiba” egyes készülékeken akkor jelentkezett, amikor a felhasználó a hírfolyamot görgette, tehát mindennapi, általános használat közben. A jelenséget több felhasználó reprodukálni tudta, eredményeiket a közösségi médiában osztották meg. A hír szerint korábbi iOS-ek és az Android itt most pont nem voltak érintettek (vagy csak a felhasználó nem látta, amint elindul a kamera). A Facebook ismét magyarázkodni kényszerült: azzal védekeztek, hogy egy másik probléma javítása közben került be az appba a „rendellenesség”, és hogy nincs bizonyíték a visszaélésre.

2019. november 20.

Nem sokat kellett várni, az Index arról írt, hogy szakértők „botrányos hibát találtak az Android kamerájában”. A Checkmarx kiberbiztonsági cég felfedte, hogy az Android kameraszoftverében hosszú hónapokig olyan sérülékenység tanyázott, amely lehetővé tette, hogy mindenféle appok akkor is kémkedni tudjanak a felhasználó után, ha nem kaptak engedélyt a kamera kezelésére. A hibát felfedező cég úgy fogalmazott, hogy a Google és a Samsung telefonjain biztosan gond volt a kamerával, és más gyártóknál is előfordulhatott a hiba.

2019. december 19.

Több nemzetközi híroldal, köztük a Forbes is megírta, hogy egy Facebooktól származó, 267 millió felhasználó telefonszámát és felhasználói azonosítóját tartalmazó adatbázis terjed teljesen szabadon, bárki által letölthető formában mindenféle spam- és adathalászfórumokon. Egy ilyen adatbázis léte azért problémás, mivel segítségével a felsorolt telefonszámok milliói válhatnak kéretlen telemarketing, vagy nagyszabású átverős kampányok áldozataivá. Bob Diachenko biztonsági szakértő úgy véli, hogy az adatbázis valamikor védett lehetett, de egy ponton valamiért nyilvánossá vált.

What an app!

2019. november 14.

A Facebook hivatalosan is elismerte, hogy WhatsApp csevegőkliense Androidon és iOS-en is egyaránt sérülékeny egy olyan, speciálisan kialakított MP4-videofájllal szemben, amelyet ha elindít a felhasználó, puffertúlcsordulás keletkezik, a támadó pedig ezt kihasználva hozzá tud férni a készülék összes üzenetéhez.

A The Independent szerint a Facebook nem adott semmilyen konkrét információt arról, hogy a videó hogyan nézhet ki, vagy arról, hogy az áldozatnak milyen módon kell megnyitnia az MP4-fájlt a hack aktiválásához (ad abszurdum az is elegendő, ha automatikusan elindul).

Szakértők szerint a hiba súlyossága rendkívüli, mivel mindenki veszélyben van, aki nem frissíti le időben az alkalmazást. Beszédes, hogy az Index ezzel foglalkozó kiberbiztonsági cikke mindösszesen 40 lájkot ért el (nem megosztás, sima tetszikelés). Olvasottsági adat nem áll rendelkezésre, viszont következtetni ebből is lehet: Magyarország legolvasottabb portálján, ahol a felkapott cikkek esetében nem ritka a 4000 (sőt néha a 40 ezer) lájk sem, könnyű belátni, hogy az adott hír gyakorlatilag senkit nem érdekelt.

Csak egy hívás

2019. május 14.

De nem csak ez az eset tépázta meg a WhatsAppot idén. Májusban egy „kifinomult kiberbűnözői kör” célzott támadást indított a Facebook kedvenc csevegőalkalmazása ellen. Egy biztonsági rést kihasználva hekkerek, bűnözők és az izraeli titkosszolgálat gyakorlatilag tetszőleges telefonra tudott kémszoftvert telepíteni, amelyen fent volt a WhatsApp. És mi kellett mindehhez?

Mindössze egyetlen hívás! A Financial Times szerint a hanghívást még csak felvenni sem kellett, sőt, egyes esetekben a hívásnaplóból törlődött maga a nem fogadott hívás ténye is, magyarán semmi nem utalt a felhasználó számára, hogy telefonja innentől kezdve illegális megfigyelés alatt áll.

A híradások – pl. az Engedget – szerint az NSO Group kiberkémkedési szolgáltatásokat kínáló izraeli cég aktívan élt is ezzel a „lehetőséggel”, ugyanis a sebezhetőségét kihasználva 20 különböző országban 1400 felhasználó mobiljára juttatták el kémprogramot. A Facebook be is perelte a céget, aki a „technológiát” a vád szerint célzott megfigyelésre használta. Az áldozatok között 100 újságíró, ismert női vezetők, emberi jogi aktivisták és politikai disszidensek voltak.

Éles kritika a Telegram-vezértől

Ennek kapcsán, hogy idén minimum két, rendkívül súlyos biztonsági rést találtak a WhatsAppban, nemrég megszólalt a Telegram vezetője, Pavel Durov is. Májusban, az első botránynál azt jósolta, hogy a WhatsApp sebezhetőségei „sorra bukkannak majd fel”, és az egyik komoly biztonsági probléma követi majd a másikat, mint ahogyan történt az a múltban. Igaza lett. „Az előzőhöz, valamint az azt megelőzőhöz hasonlóan ez az új sebezhetőség is a telefonodon tárolt összes adatot kiszolgáltatta a hackerek és a kormány [gyakorlatilag bárki – a szerk.] számára” – írta Telegram-követői számára Durov.

Elég volt, ha a támadó csak egyetlen videót küldött, és miden adatodat azonnal a kezébe adtad

– fogalmazott a novemberi esettel kapcsolatban.

Mint írja, a WhatsApp nemcsak hogy nem tudta megvédeni a WhatsApp-üzeneteinket, hanem még „trójai falóként is viselkedett”, lehetőséget adva a nem whatsappos fotóink és üzeneteink utáni kémkedésre is. Miért tehették mindezt? Durov szerint a Facebook már azelőtt is része volt egy megfigyelési programnak, hogy felvásárolta volna a WhatsAppot: „Naivság lenne azt gondolni, hogy a vállalat a felvásárlás után megváltoztatta volna irányelveit – inkább még egyértelműbbé tette a WhatsApp-alapító megjegyzését, amelyet a WhatsApp Facebooknak történő értékesítését követően tett.” Mint ismeretes, Brian Acton az eladás után így fogalmazott:

A felhasználóim magánéletét adtam el.

A Telegram vezetője szerint a legutóbbi biztonsági rés felfedezését követően a Facebook csak összezavarni szerette volna a nyilvánosságot azzal, hogy kijelentették, nincs rá bizonyíték, hogy a sebezhetőséget kihasználták volna a támadók: „Természetesen tényleg nincs ilyen bizonyíték – ahhoz ugyanis, hogy megszerezzék, elemezniük kellene a WhatsApp-felhasználók által megosztott videókat, márpedig a WhatsApp nem tárolja állandóan a szerverein a videofájlokat (ehelyett legtöbb felhasználójának üzeneteit és médiafájljait kódolatlanul egyenesen a Google és Apple szervereire továbbítja). Tehát nincs mit elemezni, nincs bizonyíték. Kényelmes megoldás.”


Kapcsolódó: Igazi népmesei hős az orosz Zuckerberg


Olyan nincs, hogy nem használták ki

Durov szerint mindenki biztos lehet abban, hogy egy ilyen méretű biztonsági sebezhetőséget ugyanúgy kihasználtak, mint a WhatsApp korábbi biztonsági réseit – „akkor azok ellen az emberi jogi aktivisták és újságírók ellen, akik elég hiszékenyek voltak ahhoz, hogy WhatsAppot használjanak”.

Felhívja a figyelmet arra is, hogy októbertől az amerikai és a brit hatóságok különösen szoros együttműködést kötöttek a közösségi médiát vélhetően bűncselekményekre is használó felhasználók adatainak még zavartalanabb kicserélése érdekében.

Túl sok a véletlen

Pavel Durov korábban már többször hangsúlyozta, hogy a Telegramnak – egy összetettségében nagyon hasonló alkalmazásnak – 6 éves pályafutása alatt még sosem volt WhatsApp-szintű biztonsági problémája. Éppen ezért „nagyon valószínűtlennek” tartja, hogy valaki csak úgy véletlenül kövessen el ilyen hatalmas biztonsági hibákat, pont olyanokat, amelyekkel a kényelmes megfigyelés rendszerszinten válik lehetővé.

A WhatsApp anyavállalatának mögöttes szándékaira való célzásai után a végfelhasználóknak szóló tanácsa mindenki számára ugyanaz: „hacsak nem vállalnád fel minden fotódat és beszélgetésedet a nagy nyilvánosság előtt, ki kell törölnöd a WhatsAppot a mobilodról”.


Egy éve írtuk: Gondoltak egyet, be­fa­gyasz­tot­ták – a közelmúlt PayPal-bűnei


(CoinColors, az idézett források és Pavel Durov Telegram-bejegyzése alapján)