En sårbarhet i meldingstjenestene WhatsApp og Telegram kan gjøre det mulig for angripere å ta fullstendig kontroll over brukerkontoer og få adgang til offerets personlige samtaler og gruppesamtaler, bilder, kontaktlister, videoer og andre delte filer. Det er forskere ved sikkerhetsselskapet Check Point som har funnet sårbarheten.
Det er web-versjonene av de to tjenestene som er berørt av sårbarheten. Disse versjonene speiler alle meldinger som sendes og mottas av brukeren i mobilappene. Whatsapp har over en milliard brukere, mens Telegram har over 100 millioner aktive brukere.
– Denne nye sårbarheten utsetter flere hundre millioner WhatsApp Web-og Telegram Web-brukere for total overtakelse av kontoene. Ved ganske enkelt å sende et uskyldig utseende bilde kan angriperen få full kontroll over kontoen, få tilgang til meldingshistorikk, alle bilder som er lagret og sende meldinger på vegne av brukeren, sier Oded Vanunu leder av Check Points forskningsavdeling for produktsårbarheter i en pressemelding.
Sikkerhetsingeniør Arnfinn Strand ved Check Points norgeskontor skriver i en epost til digi.no at han anser sårbarheten for å være alvorlig.
– Det er en alvorlig sårbarhet som er enkel å utnytte. Det holder at en bruker klikker på et bilde eller video han eller hun får tilsendt, så «eier» angriperen kontoen, sier Strand.
Etter at angriperen har fått tilgang til offerets konto kan angriperen sende den skadelige filen til alle offerets kontakter, og på den måten sette igang et bredt angrep.
Selskapene reagerte raskt
Check Point varslet sikkerhetsavdelingene i Whatsapp og Telegram den 8. mars, og begge selskapene reagerte raskt og har nå tettet sikkerhetshullene.
– Nå har Whatsapp reagert veldig raskt, tatt dette meget alvorlig og levert en fiks. Dette er veldig bra, sier Strand.
For å være sikker på at du bruker den siste versjonen av web-varianten til Whatsapp bør du starte nettleseren din på nytt.
Både Whatsapp og Telegram benytter ende-til-ende-kryptering av meldinger slik at ikke uvedkommende skal kunne lese meldingene. Det var imidlertid den samme ende-til-ende-krypteringen som var årsaken til sårbarheten som nå er avdekket.
Sårbarheten skyldtes nemlig at så lenge meldinger var kryptert på senderens side, så var Whatsapp og Telegram «blinde» overfor innholdet og dermed ikke i stand til å forhindre at skadelig innhold ble sendt. Fiksen som nå er implementert sørger for at innholdet blir validert før kryptering, slik at skadelige filer vil bli blokkert.