WhatsApp-hul tillod fjerneksekvering af kode på Android og Ios

Illustration: dennizn/Bigstock
Et sikkerhedshul i Facebooks krypterede messaging-service WhatsApp har gjort det muligt for hackere, at fjerneksekvere spyware på ofrenes telefoner

Hackere fra den Israelske virksomhed NSO Company har fundet en sårbarhed i WhatsApp, som gør det muligt for dem, at injicere spyware på ofres telefoner, både med Android og Ios. Angrebet virker ved at ringe til et offer, som ikke behøver tage imod opkaldet, for at blive inficeret.

Det skriver Financial Times.

WhatsApp tilbyder stærk end to end-kryptering af beskeder som sendes via appen, men det hjælper ikke meget for brugere, som får installeret spyware på deres telefoner, som kan overvåge beskederne efter de dekrypteres i appen.

Læs også: WhatsApp-brugere finder fejl: Muligt at omgå krav om Touch ID og Face ID

Sikkerhedsfejlen har fået navnet cve-2019-3568, og en sikkerhedsopdatering til WhatsApp er blevet sendt ud mandag.

Kontroversiel overvågningssoftware

Angrebet fungerer ved hjælp af et buffer-overflow, som giver angriberen mulighed for at eksekvere vilkårlig kode. For NSO group er der tale om virksomhedens smartphone-overvågningssuite Pegasus.

Pegasus blev blandt andet brugt af den Saudiarabiske regering til at overvåge journalisten Jamal Khashoggi, som blev dræbt på det Saudiarabiske konsulat i Tyrkiet.

Læs også: Snowden anklager israelsk virksomhed for at have muliggjort mord på Khashoggi

Tidligere påtalt angrebsflade

Googles Project Zero undersøgte i december 2018 WhatsApp, og af deres blogindlæg fremgår det, at de fandt frem til, at man kunne udveksle en række informationer med en telefon, før brugeren i den anden ende havde taget imod opkaldet.

Project Zero fandt ikke sikkerhedshullet, men bemærkede at det gav potentielle angribere en stor angrebsflade.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Michael Cederberg

Nu har vi fået tudet ørene fulde om fordelen ved end-to-end kryptering og hvordan Telegram/VPN/Tor/<insert tech name> løser alle problemer.

Pointen er at hvis man ikke selv har skrevet applikationen eller reviewet den grundigt, så stoler man på at andre har gjort deres arbejde ordentligt. Desværre er der ofte huller i folks arbejde. På samme måde kan man høre om at udbydder XX har fuld kryptering og gemmer ikke noget i log filer. Well ... hvordan ved du det? Er vedkommende din tillid værd?

Historien viser også at mydigheder kloden rundt ser et behov for at spionere mod os. Hjemlige myndigheder som fx. politiet vil kunne gå til domstolene og få en retskendelse. Andre som fx. brutale diktatorer må vælge mere dubiøse metoder som den der er beskrevet her.

Desværre skubber "IT liberalisterne"/privacy fanatikere også vore hjemlige myndigheder i retning af de dubiøse metoder ved at lukke for mere fornugtige processer. Fx. var FBI nødt til at betale et israelsk hackerfirma for at komme ind i telefoner. Og på den måde er myndigheders legitime behov med til at svække sikkerheden.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize