Рубрика развивается при поддержке HP logo

Хакер нашёл простой способ красть переписку пользователей WhatsApp на Android Статьи редакции

Любое приложение для Android, установленное пользователем, может красть содержимое его переписки в WhatsApp. Об этом заявил в своём блоге технический консультант Бас Боссхерт (Bas Bosschert).

Боссхерт по просьбе своего брата изучал возможность красть переписку пользователя в WhatsApp. Он установил, что в Android-версии приложения все диалоги хранятся в файле, размещённом на флеш-карте смартфона.

По словам хакера, любое стороннее Android-приложение, установленное пользователем, может получить доступ к этому файлу и отправить его на удалённый сервер. Для этого разработчик должен внедрить небольшой код, осуществляющий эту операцию, а также прописать у своего приложения разрешения на доступ к SD-карте и выход в интернет.

Во время загрузки базы данных WhatsApp мы будем показывать простой экран загрузки, так что люди будут думать, что приложение делает что-то интересное в фоне.Бас Боссхерт

Боссхерт отмечает, что пользователь не увидит никаких предупреждений о том, что приложение получило доступ к его данным и отправило их куда-то. Попытаться отследить подозрительное поведение можно только на этапе установки: тогда операционная система показывает все разрешения, которые запрашивает программа. Однако доступ к карте памяти и выход в интернет используются во множестве случаев — например, для хранения своих данных и подгрузки таблицы победителей в игре.

Файлы с переписками пользователей WhatsApp, рассказывает хакер, хранятся в папке /WhatsApp/Databases/ и бывают двух видов. В старых версиях приложения диалоги хранились в открытом виде — просто как SQL-база данных, которую при желании можно сконвертировать в таблицу для Excel.

Обновлённая версия мобильного мессенджера хранит историю сообщений в зашифрованном состоянии (файл имеет вид msgstore.db.crypt). Однако расшифровать такой документ можно с помощью скрипта на языке Python из 11 строк. Кроме того, один из читателей Боссхерта предложил консольную команду из одной строки, которая также позволяет преобразовать зашифрованный файл переписки в обычную SQL-базу.

Мы можем заключить, что каждое приложение может прочитать базу данных WhatsApp, и что также можно читать переписки из зашифрованных баз. Facebook не нужно было покупать WhatsApp, чтобы прочитать ваши переписки.Бас Боссхерт

Вопросы безопасности WhatsApp поднимались и ранее (так, в октябре 2013 года нидерландский студент выяснил, что входящие и исходящие сообщения шифруются одним ключом), но внимание исследователей к мобильному мессенджеру повысилось после покупки его соцсетью Facebook. В феврале 2014 года Марк Цукерберг объявил, что приобретает WhatsApp за 16 миллиардов долларов, однако сохранит мессенджер как самостоятельный продукт.

{ "author_name": "Султан Сулейманов", "author_type": "self", "tags": ["\u043a\u0440\u0430\u0436\u0430_\u043f\u0435\u0440\u0435\u043f\u0438\u0441\u043a\u0438_whatsapp","\u0432\u0437\u043b\u043e\u043c_whatsapp","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c_whatsapp","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c_android","whatsapp","facebook","android"], "comments": 20, "likes": 165, "favorites": 0, "is_advertisement": false, "subsite_label": "tech", "id": 50054, "is_wide": true, "is_ugc": true, "date": "Wed, 12 Mar 2014 13:07:39 +0400", "is_special": false }
0
20 комментариев
Популярные
По порядку
Написать комментарий...

Уполномоченный файл

15

Опять телеграм пиарится?)
P.s.

Ответить

Пьяный Артем

John
4

Не забудь файлы переписок потереть, они остаются

Ответить

Уполномоченный файл

9

Вот мы тут общаемся, а оказывается что наши комментарии может читать кто-угодно
#ирония

Ответить

Итальянский кубок

4

Телеграм заплатят 200К $ в биткоинах за найденую уязвимость в WhatsUp

Ответить

Методический Слава

2

WhatApp загнивает,Telegram с колен поднимается!!!

Ответить

Обычный рак

Алексей
–1

спасибо путину за это!

Ответить

Академический ихтиандр

1

Я уж думал, что файл msgstore.db.crypt в обновлённой версии расшифровать можно с помощью ... переименования файла :) Но нет, они потрудились на 11 строк Python, почти похвально.

Ответить

Прикладной инструмент

–1

Лал, тваю пириписку четал.

У параноиков от этой новости Боссхерт.

Ответить

Уполномоченный файл

0

Нужно срочно писать программу WhatsAppPrivacyTester которая будет проверять видно ли там в логах что, поддается ли расшифровке и показывать результат пользователю (ну а все найденные логи себе сливать, в фоне разумеется)

Ответить

Загадочный каякер

0

Кому-то есть дело до моих обсуждений того, что бы нам приготовить на ужин?

Ответить

Уполномоченный файл

jimmy_webs
0

А что если я скажу тебе, что твоя бывшая, подсыпет тебе яд в ужин и заберет себе твою девушку, для взаимных утех?

Ответить

Мутный микрофон

0

А что за программа для просмотра базы?

Ответить

Арбитражный американец

Andrey
0

sqlite pro, в аппсторе есть помоему.

Ответить

Органический Гоша

–2

Хорошая попытка Telegram

Ответить

Вкусный диод

–10

Еще один + на сторону iOS.

Ответить

Полный огонь

Ryzhov_S
0

там эппл и без всяких вацаппов знает, что вы вообще сначала напечатали, а потом стерли, например

Ответить

Вкусный диод

Krem-brule
0

Если уж говорить об этом, то все операционки шпионят в более-менее равной степени.

Ответить

Древний супер_стар

Ryzhov_S
1

То что уязвимо приложение под Андройд не говорит о неуязвимости под iOS.

Ответить

Вкусный диод

Serp
–2

Так я этого и не утверждал

Ответить

Древний

Ryzhov_S
–1

В чем же тогда + ?

Ответить
Обсуждаемое
Новости
Меркель заявила о необходимости немедленно освободить Навального
Канцлер Германии присоединилась к требованиям других западных политиков.
Разборы
Гайд перед митингами 23 января: как себя обезопасить и что делать при задержании
Главное о предстоящих протестах в 63 российских городах — и памятка.
Новости
Срочника Рамиля Шамсутдинова, расстрелявшего сослуживцев в Забайкалье, приговорили к 24,5 годам колонии
Он объяснял убийство восьмерых человек дедовщиной.
Популярное за три дня
Интернет
«Нам страшно за себя и за страну»: подростки в тиктоке массово призывают «погулять» 23 января
В соцсетях дают советы о том, как вести себя на митингах, и снимают портреты Путина со школьных стен.
Новости
«В мои планы не входит вешаться на оконной решётке»: Навальный написал обращение из СИЗО
Он поблагодарил тех, кто посмотрел расследование о «дворце Путина».
Интернет
Фильм про «дворец Путина» стал самым просматриваемым роликом на ютуб-канале Навального, обогнав «Он вам не Димон»
38 миллионов просмотров за двое суток — расследование про Дмитрия Медведева набрало столько же за почти четыре года.

Комментарии

null