Tấn công WhatsApp chỉ với một tin nhắn

hacking-whatsapp

Bất cứ ai cũng có thể tấn công WhatsApp từ xa chỉ với một tin nhắn. Nguyên nhân là do ứng dụng nhắn tin này có chứa một lỗ hổng bảo mật nghiêm trọng.

Hai thiếu niên 17 tuổi người Ấn Độ là Indrajeet Bhuyan và Saurav Kar đã nghiên cứu và chứng minh được lỗ hổng trong WhatsApp Message Handler cho một trong những nhà phân tích an ninh tờ The Hacker News.

Trong một video bằng chứng, họ đã cho thấy rằng bằng cách gửi một tin nhắn dài 2000 từ (tương đương 2KB lưu lượng) trong bộ ký tự đặc biệt thì có thể làm ứng dụng của người nhận bị tạm thời ngừng hoạt động. Những lo lắng về tác động của lỗ hổng là người dùng sẽ phải xóa toàn bộ cuộc trò chuyện của mình và bắt đầu một cuộc trò chuyện mới. Bởi vì nếu tiếp tục mở các tin nhắn thì WhatsApp sẽ tiếp tục bị tấn công và ngừng hoạt động, trừ khi xóa đi hoàn toàn lịch sử chat.

Theo bộ đôi này, lỗ hổng đã được thử nghiệm và thành công trên hầu hết các phiên bản của hệ điều hành Android, bao gồm Jellybean, KitKat và tất cả các phiên bản Android thấp hơn.

Tương tự như vậy, bất kỳ ai trong danh bạ WhatsApp của bạn đều có thể cố ý gửi tin nhắn lừa đảo để xóa người khỏi nhóm và thậm chí là xóa nhóm chat. Ngoài ra, ví dụ, nếu tôi không muốn ai đó giữ lại lịch sử trò chuyện giữa tôi với họ, tôi cũng có thể gửi tin nhắn tương tự tới người đó.

Các lỗ hổng chưa được thử nghiệm trên iOS, nhưng chắc chắn rằng tất cả các phiên bản của WhatsApp, bao gồm 2.11.431 và 2.11.432 đều bị ảnh hưởng bởi lỗi này. Ngoài ra, các cuộc tấn công không thực hiện được trên Windows 8.1.

WhatsApp đã được Facebook mua lại từ hồi tháng 2 với số tiền là 19 tỉ USD. Nó có 600 triệu người sử dụng, tính đến tháng 10 năm 2014; và theo các nhà nghiên cứu, ước tính số lượng người dùng bị ảnh hưởng bởi lỗ hổng này có thể là 500 triệu tài khoản.

Gần đây có thông tin WhatsApp đã mã hóa end-to-end trên tất cả các tin nhắn văn bản như một tính năng mặc định nhằm thúc đẩy sự riêng tư và bảo mật của người sử dụng trên toàn thế giới. Các nhà sản xuất ứng dụng nói hoạt động này là một kế hoạch triển khai mã hóa end-to-end lớn nhất từ trước đến nay.

Theo THN

Bình luận