Luka funkcji filtru obrazów WhatsApp zagrażała prywatności użytkowników

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Luka bezpieczeństwa w funkcji filtrów obrazów w komunikatorze WhatsApp mogła pozwolić na włamanie się do komunikatora WhatsApp – informuje Check Point Research. Hakerzy wykorzystując określone filtry do specjalnie spreparowanej i przesłanej do ofiary grafiki mogli przejąć poufne informacje z najpopularniejszego na świecie komunikatora, wykorzystywanego przez przeszło 2 mld użytkowników.

Check Point Research wykrył kolejną, wymagającą natychmiastowego załatania, podatność w komunikatorze WhatsApp, który w zeszłym roku miał ponad 2 miliardy użytkowników na całym świecie. Przez należący do Facebooka komunikator codziennie wysyłanych jest ponad 55 miliardów wiadomości, w tym około 4,5 miliarda zdjęć oraz miliard plików wideo! To również drugi (po Messengerze) najpopularniejszy komunikator w Polsce, z którego korzysta około 8 milionów użytkowników.

Wykryta przez ekspertów z Check Point Research luka była zakorzeniona w funkcji filtrowania obrazów. Filtrowanie obrazu to proces, w którym piksele oryginalnego obrazu są modyfikowane w celu uzyskania pewnych efektów wizualnych, takich jak rozmycie lub wyostrzenie. Podczas swoich badań analitycy bezpieczeństwa z Check Point zauważyli, że przełączanie się między różnymi filtrami w spreparowanych plikach GIF powodowało awarię WhatsApp, zidentyfikowaną jako uszkodzenie pamięci. Check Point Research niezwłocznie zgłosiło problem do WhatsAppa, który oznaczył lukę jako CVE-2020-1910, opisując ją jako poza zakresowy błąd odczytu i zapisu. Pomyślne wykorzystanie tej luki wymagałoby od atakującego zastosowania określonych filtrów obrazu do specjalnie spreparowanego obrazu i przesłania go ofierze.

Swoje ustalenia eksperci przekazali WhatsAppowi 10 listopada 2020 r. Firma zweryfikowała je i potwierdziła problem z bezpieczeństwem. Luka CVE-2020-1910 została ostatecznie załatana w wersji 2.21.2.13, będącej lutową aktualizacją „Security Advisory”. Ze względów bezpieczeństwa o podatności poinformowano dopiero kilka miesięcy później.

 – Z ponad dwoma miliardami aktywnych użytkowników WhatsApp może być atrakcyjnym celem dla atakujących. Po wykryciu luki w zabezpieczeniach szybko zgłosiliśmy nasze ustalenia do WhatsAppa, który współpracował z nami przy wydawaniu poprawki. Rezultatem naszych wspólnych wysiłków jest bezpieczniejszy WhatsApp dla użytkowników na całym świecie. – wyjaśnił Oded Vananu, szef działu badań podatności produktów w Check Point Software.

WhatsApp przedstawił swoje oświadczenie w tej sprawie:

Regularnie współpracujemy z badaczami bezpieczeństwa, aby poprawić liczne sposoby, jakimi WhatsApp chroni wiadomości użytkowników. Doceniamy pracę, jaką wykonuje Check Point, aby zbadać każdy zakątek naszej aplikacji. Ludzie nie powinni mieć wątpliwości, że szyfrowanie typu end-to-end działa nadal zgodnie z przeznaczeniem, a wiadomości ludzi pozostają bezpieczne. Raport ten obejmuje wiele kroków, które użytkownik musiałby wykonać, i nie mamy powodu sądzić, że błąd ten miał jakikolwiek wpływ na użytkowników. Nawet najbardziej złożone scenariusze zidentyfikowane przez badaczy mogą pomóc w zwiększeniu bezpieczeństwa użytkowników. Podobnie jak w przypadku każdego produktu technologicznego, zalecamy użytkownikom aktualizowanie swoich aplikacji oraz systemów operacyjnych, pobieranie update’u od razu, gdy jest on dostępny, a także zgłaszanie podejrzanych wiadomości i kontaktowanie się z nami w przypadku problemów z korzystaniem z WhatsApp.

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Jak upały wpływają na gospodarkę i biznes

Gdy temperatura rośnie, spada nie tylko komfort pracy. Ekstremalne...

Rynek pracy w Polsce: które zawody dominują, gdzie brakuje młodych i kogo zastąpi AI

Główny Urząd Statystyczny opublikował pierwsze tak szczegółowe zestawienie zawodów...

Czy boom na AI pęknie? Prognoza na III kwartał dla giełd, złota i ropy

Koniec II kwartału przyniósł mocne odbicie akcji spółek związanych...

Koniec last minute? Kryzys paliwowy może podnieść ceny biletów lotniczych

Niekoniecznie w domu, ale jeśli wyjazd to: na krócej,...

TFI zarobiły 1,4 mld zł. Zysk branży wyższy o 38 proc.

Towarzystwa funduszy inwestycyjnych zamknęły 2025 r. najlepszym wynikiem w...
Wiadomości

UODO: właściciel kamery nie może bez podstawy nagrywać sąsiadów i przechodniów

Osoba, która nie wykonała nakazu Prezesa Urzędu Ochrony Danych...

UODO chce szybszego usuwania deepfake’ów i danych wykradzionych w cyberatakach

Prezes Urzędu Ochrony Danych Osobowych pozytywnie ocenia uwzględnienie przez...

Baker McKenzie: Nowe przepisy o cyberbezpieczeństwie wyzwaniem dla wielu firm energetycznych w Polsce

Nowa unijna dyrektywa NIS2 zwiększająca poziom cyberbezpieczeństwa w infrastrukturze...

Kancelaria podatkowa ukarana za przejęte konto e-mail. Prezes UODO nałożył ponad 11 tys. zł kary

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył karę...

Od ochrony systemów do zarządzania ryzykiem. Tak ewoluuje rola CISO

Jeszcze kilka lat temu niewiele polskich przedsiębiorstw posiadało w...

Nowy atak przejmuje konta Microsoft 365 bez kradzieży hasła

Analitycy ESET ostrzegają przed nowym rodzajem phishingu, który tylko...

DeepSeek wskazał sposób na atak przez legalną funkcję przeglądarki

Nie potrzeba już exploita, złośliwego załącznika ani instalacji podejrzanej...

Magdalena Sobkowiak-Czarnecka nowym pełnomocnikiem rządu ds. odporności państwa

Magdalena Sobkowiak-Czarnecka zostanie Pełnomocnikiem Rządu do spraw Wzmocnienia Odporności...
Coś dla Ciebie

Wybrane kategorie