Рубрика развивается при поддержке HP logo

Хакер нашёл простой способ красть переписку пользователей WhatsApp на Android Статьи редакции

Любое приложение для Android, установленное пользователем, может красть содержимое его переписки в WhatsApp. Об этом заявил в своём блоге технический консультант Бас Боссхерт (Bas Bosschert).

Боссхерт по просьбе своего брата изучал возможность красть переписку пользователя в WhatsApp. Он установил, что в Android-версии приложения все диалоги хранятся в файле, размещённом на флеш-карте смартфона.

По словам хакера, любое стороннее Android-приложение, установленное пользователем, может получить доступ к этому файлу и отправить его на удалённый сервер. Для этого разработчик должен внедрить небольшой код, осуществляющий эту операцию, а также прописать у своего приложения разрешения на доступ к SD-карте и выход в интернет.

Во время загрузки базы данных WhatsApp мы будем показывать простой экран загрузки, так что люди будут думать, что приложение делает что-то интересное в фоне.Бас Боссхерт

Боссхерт отмечает, что пользователь не увидит никаких предупреждений о том, что приложение получило доступ к его данным и отправило их куда-то. Попытаться отследить подозрительное поведение можно только на этапе установки: тогда операционная система показывает все разрешения, которые запрашивает программа. Однако доступ к карте памяти и выход в интернет используются во множестве случаев — например, для хранения своих данных и подгрузки таблицы победителей в игре.

Файлы с переписками пользователей WhatsApp, рассказывает хакер, хранятся в папке /WhatsApp/Databases/ и бывают двух видов. В старых версиях приложения диалоги хранились в открытом виде — просто как SQL-база данных, которую при желании можно сконвертировать в таблицу для Excel.

Обновлённая версия мобильного мессенджера хранит историю сообщений в зашифрованном состоянии (файл имеет вид msgstore.db.crypt). Однако расшифровать такой документ можно с помощью скрипта на языке Python из 11 строк. Кроме того, один из читателей Боссхерта предложил консольную команду из одной строки, которая также позволяет преобразовать зашифрованный файл переписки в обычную SQL-базу.

Мы можем заключить, что каждое приложение может прочитать базу данных WhatsApp, и что также можно читать переписки из зашифрованных баз. Facebook не нужно было покупать WhatsApp, чтобы прочитать ваши переписки.Бас Боссхерт

Вопросы безопасности WhatsApp поднимались и ранее (так, в октябре 2013 года нидерландский студент выяснил, что входящие и исходящие сообщения шифруются одним ключом), но внимание исследователей к мобильному мессенджеру повысилось после покупки его соцсетью Facebook. В феврале 2014 года Марк Цукерберг объявил, что приобретает WhatsApp за 16 миллиардов долларов, однако сохранит мессенджер как самостоятельный продукт.

{ "author_name": "Султан Сулейманов", "author_type": "self", "tags": ["\u043a\u0440\u0430\u0436\u0430_\u043f\u0435\u0440\u0435\u043f\u0438\u0441\u043a\u0438_whatsapp","\u0432\u0437\u043b\u043e\u043c_whatsapp","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c_whatsapp","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c_android","whatsapp","facebook","android"], "comments": 20, "likes": 165, "favorites": 0, "is_advertisement": false, "subsite_label": "tech", "id": 50054, "is_wide": true, "is_ugc": true, "date": "Wed, 12 Mar 2014 13:07:39 +0400", "is_special": false }
0
20 комментариев
Популярные
По порядку
Написать комментарий...

Огненный велосипед

15

Опять телеграм пиарится?)
P.s.

Ответить

Музыкальный Денис

John
4

Не забудь файлы переписок потереть, они остаются

Ответить

Огненный велосипед

9

Вот мы тут общаемся, а оказывается что наши комментарии может читать кто-угодно
#ирония

Ответить

Процессуальный дебаркадер

4

Телеграм заплатят 200К $ в биткоинах за найденую уязвимость в WhatsUp

Ответить

Удивленный Мика

2

WhatApp загнивает,Telegram с колен поднимается!!!

Ответить

Прочий мангал

Алексей
–1

спасибо путину за это!

Ответить

Часовой кофе

1

Я уж думал, что файл msgstore.db.crypt в обновлённой версии расшифровать можно с помощью ... переименования файла :) Но нет, они потрудились на 11 строк Python, почти похвально.

Ответить

Болезненный кран

–1

Лал, тваю пириписку четал.

У параноиков от этой новости Боссхерт.

Ответить

Огненный велосипед

0

Нужно срочно писать программу WhatsAppPrivacyTester которая будет проверять видно ли там в логах что, поддается ли расшифровке и показывать результат пользователю (ну а все найденные логи себе сливать, в фоне разумеется)

Ответить

Мудрый космос

0

Кому-то есть дело до моих обсуждений того, что бы нам приготовить на ужин?

Ответить

Огненный велосипед

jimmy_webs
0

А что если я скажу тебе, что твоя бывшая, подсыпет тебе яд в ужин и заберет себе твою девушку, для взаимных утех?

Ответить

Террористический цветок

0

А что за программа для просмотра базы?

Ответить

Предыдущий ГОСТ

Andrey
0

sqlite pro, в аппсторе есть помоему.

Ответить

Казенный Илья

–2

Хорошая попытка Telegram

Ответить

Квадратный колос

–10

Еще один + на сторону iOS.

Ответить

Общий пёс_анон

Ryzhov_S
0

там эппл и без всяких вацаппов знает, что вы вообще сначала напечатали, а потом стерли, например

Ответить

Квадратный колос

Krem-brule
0

Если уж говорить об этом, то все операционки шпионят в более-менее равной степени.

Ответить

Уголовный турник

Ryzhov_S
1

То что уязвимо приложение под Андройд не говорит о неуязвимости под iOS.

Ответить

Квадратный колос

Serp
–2

Так я этого и не утверждал

Ответить

Уголовный турник

Ryzhov_S
–1

В чем же тогда + ?

Ответить
Обсуждаемое
Разборы
Имеет ли право оппозиция врать?
Доначу, смотрю, участвую в митингах вместе с ФБК. Я слежу за их деятельностью и всячески пытаюсь их поддерживать, НО
Telegram
Интересно, а как Сергей Звёзда общается в корпоративном чате?
Новости
«Его в Германии задержали?»: реакция Пескова на задержание Навального после возвращения в Россию
А у президента отпуск.
Популярное за три дня
Интернет
Запись в подсайте Интернет
Неловко вышло
Новости
Алексей Навальный вернулся в Россию
Самолёт приземлился в Шереметьево, а не во Внуково.
Новости
Алексея Навального задержали после возвращения в Россию
На паспортном контроле в Шереметьево.

Комментарии

null