WhatsApp, najpopularniejszy komunikator na świecie, ma problem, który pozwala hakerom bardzo łatwo monitorować status aktywności użytkowników bez ich wiedzy, co się dzieje. Ekspert ds. bezpieczeństwa komputerowego odkrył istniejącą lukę w aplikacji WhatsApp dla iPhone i Android, dzięki czemu każdy może wiedzieć, czy dana osoba jest aktywna i czyta/pisze wiadomości, czy nie.
WhatsApp ma tę lukę na platformie po tym, jak w zeszłym roku została wykryta również w Facebooku Messenger, więc Facebook nie zadał sobie zbytnio trudu, aby usunąć ją ze wszystkich swoich platform. Korzystając z tej luki, haker może monitorować aktywność różnych osób w czasie, aby wiedzieć, czy ze sobą rozmawiają, ale nie widzi wysyłanych wiadomości, więc nie wie, o czym mówią.
Lukę w WhatsApp wykorzystał ekspert korzystający z rozszerzenia do Chrome i zaledwie 4 linijek kodu JavaScript, więc sama technika nie jest bardzo skomplikowana. WhatsApp ma ten problem, ponieważ status aktywności danej osoby na platformie może sprawdzić każdy, a na podstawie zalogowania i wylogowania się z sieci ktoś może wiedzieć, kiedy użytkownicy komunikują się ze sobą.
WhatsApp - komunikacja Może zostać przechwycona
WhatsApp powinien teoretycznie umożliwiać sprawdzanie statusu aktywności danej osoby tylko przez jej aplikacje, a nie przez kogokolwiek innego w Internecie. Mówimy tutaj o zabezpieczeniu, którego WhatsApp nie nakłada na swoją platformę, dzięki czemu każdą osobę z zewnątrz może monitorować każdy, w tym strony internetowe, które potrafią wykryć, kiedy określone osoby są aktywne w aplikacjach.
WhatsApp nie potwierdził ani nie zaprzeczył istnieniu luki, a kod wymagany do ciągłego monitorowania aktywności danej osoby jest nieco bardziej skomplikowany, ale nie niemożliwy do osiągnięcia. WhatsApp z pewnością o tym wie, a ponieważ zdecydował się nie chronić informacji o stanie aktywności danej osoby, z pewnością ma całkiem dobry powód, aby to zrobić, nawet jeśli cała sprawa jest problematyczna.
setInterval(function() { var lastSeen = $('.pane-header .chat-body .emojitext').last().text(); console.log(Math.floor(Date.now() / 1000) + ", " + lastSeen); }, 1000);
WhatsApp z tą luką przypomina mi stare strony internetowe i programy stworzone specjalnie w celu wykrywania, czy dana osoba jest aktywna na platformie Yahoo Messenger. Zasada działania tej luki w WhatsApp jest dokładnie taka sama i z mojego punktu widzenia jest mało prawdopodobne, aby WhatsApp rozwiązał ją zbyt szybko, ponieważ nie ma powodu, aby to robić.
WhatsApp chce, aby użytkownicy na jej platformie byli monitorowani przez inne osoby, w przeciwnym razie nie zdecydowałaby się na utrzymywanie tej luki.
