USD 65.99 ЕВРО 74.9

Эксплойт для Android использует базу данных чата WhatsApp

Экономика

Плохая техника программирования открывают резервные копии базы данных чата WhatsApp для атак в среде Android

Эксплойт Android получает доступ к БД WhatsAppБас Босхерт, «консультант/администратор/предприниматель», продемонстрировал эксплойт, доказывающий, что локально хранящиеся базы данных сообщений WhatsApp могут быть прочитаны любым другим Android-приложением с доступом к файловой системе.

Хотя база данных WhatsApp должна храниться в зашифрованном виде, чтобы предотвратить случайную утечку, Босхерт обнаружил, как легко извлечь ключ базы данных с помощью существующей программы и расшифровать результаты.

В доказательстве концепции Босхерта принимает участие еще одно Android-приложение, которое он использовал для несанкционированного доступа в базу данных WhatsApp SQLite. Затем результат передаётся на удаленный веб-сервер для дальнейшей работы.

Один из важных аспектов эксплуатации и возможного смягчающий фактор: эксплойт обращается только к копии базы данных, созданной на SD-карте телефона собственной функцией резервного копирования программы. Когда база данных хранится там, даже в качестве резервной, она становится доступной для любого приложения, которое может читать SD-карту. Документация для разработчиков Android говорит в недвусмысленных выражениях, что хранение данных на внешней карте по своей сути небезопасно.

С этой целью, WhatsApp шифрует базы данных резервного копирования, но эксплойт Босхерта справляется с этим. Тот же ключ AES был использован для шифрования базы данных всех пользователей WhatsApp. Босхерт написал простой скрипт на Python для выполнения расшифровки.

Вдвойне парадоксально, что наиболее вопиющие недостатки WhatsApp, показанные Босхертом, легко решаются с помощью хорошей техники программирования. К сожалению, WhatsApp написана с позиции широкой совместимости. Это означает, что поддержка многих возможностей по усилению безопасности, реализованных в Android, в том числе функций для внешних накопителей, не доступны для всех его пользователей.

Не первый раз WhatsApp ругают за небезопасную практику программирования. Еще в октябре 2013 года, ведущий разработчик программы обмена мгновенными сообщениями с открытым исходным кодом Adium, обнаружил, что разработчики WhatsApp совершили грубейшую ошибку в реализации криптографии, что сделало возможным восстановление ключей, используемых программой для шифрования трафика сообщений.

Теоретически, приложения, которые могут тайно украсть информацию из других приложений запрещены в магазине Google Play, но может оказаться сложным отследить такие программы. Бдительность пользователей — иногда единственный способ пролить свет на события.

Шифрование тяжело сделать хорошо, а тем более реализовать его должным образом в приложении с максимально широкой пользовательской базой, как у WhatsApp. Лёгкость, с которой данные WhatsApp можно не только получить, но и расшифровать должна служить назидательным примером.