17/02/2015

Błędy, oszustwa i WhatsApp Web

Informacje Porady

Pod koniec zeszłego miesiąca pojawiła się WhatsApp Web –  internetowa  wersja popularnej usługi do komunikacji mobilnej WhatsApp. Dzięki niej użytkownicy mogą uruchamiać aplikację WhatsApp w swojej ulubionej przeglądarce internetowej – pod warunkiem że jest nią Google Chrome oraz że nie spróbują skojarzyć swojego konta w WhatsApp Web z iPhone’em.

Kaspersky Daily tradycyjnie jest najbardziej zainteresowany aspektami bezpieczeństwa WhatsApp Web. I mimo że usługa jest dostępna niecały miesiąc, zauważyliśmy już kilka luk i incydentów bezpieczeństwa.

WhatsApp-for-Web-vulnerabilities

 

Indrajeet Bhuyan, 17-letni bloger i badacz bezpieczeństwa z Indii, odkrył parę interesujących, choć niekrytycznych luk, które pojawiają się podczas interakcji WhatsApp Web z oryginalną wersją mobilną. Jak napisał w swoim poście na blogu, klient sieciowy jest jedynie rozszerzeniem aplikacji mobilnej WhatsApp, jego zadaniem jest odzwierciedlanie konwersacji prowadzonych na urządzeniu mobilnym i wyświetlanie ich w przeglądarce Chrome. WhatsApp Web działa na urządzeniach mobilnych, które mają system inny niż iOS oraz są połączone z internetem.

Większość błędów WhatsApp Web jest prawdopodobnie w jakiś sposób powiązana z aplikacją mobilną, co pokazują odkrycia Bhuyana.

Jedna z wad jest związana z usuwaniem zdjęć i synchronizacją aplikacji mobilnej z sieciową. Jeśli użytkownik połączy aplikację WhatsApp z WhatsApp Web i usunie zdjęcie, będzie to zastosowane tylko w aplikacji mobilnej, natomiast w kliencie Web pozostaną one widoczne. Wiadomości usunięte w aplikacji mobilnej, znikają także w wersji przeglądarkowej aplikacji.

Kolejne niedociągnięcie dotyczy ustawień prywatności profilu. Użytkownicy mogą zdecydować, czy ich zdjęcia profilowe są widoczne dla każdej osoby, tylko dla kontaktów czy w ogóle dla nikogo. Bhuyan wykrył, że po wybraniu opcji „tylko dla kontaktów” zdjęcie profilowe było widoczne w aplikacji Web dla każdego. Sami zobaczcie:

Bhuyan opisał  krótką analizę swojego badania na swoim blogu, na którym umieszcza technologiczne historie odkąd skończył 14 lat. Podobno skontaktował się z WhatsApp i uzyskał zapewnienie, że firma pracuje nad usunięciem błędu. Kaspersky Daily także zwrócił się do WhatsApp, ale firma nie udzieliła nam komentarza.

Badacz Kaspersky Lab – Fabio Assolini – śledzi oszustwa skierowane w osoby prywatne. Jedno z nich zostało opisane w najnowszym artykule w serwisie Securelist. Wykryte zagrożenie naśladuje stronę instalacyjną aplikacji WhatsApp, jednak zamiast właściwego dodatku instaluje podejrzane rozszerzenie do przeglądarki Google Chrome. Aby zainstalować WhatsApp Web, użytkownicy muszą odwiedzić stronę web.whatsapp.com i zrobić zdjęcie kodu QR swoim urządzeniem mobilnym. Oszuści również stworzyli podobną stronę z kodem QR, tyle że szkodliwym, aby zainfekować użytkowników.

Assolini dodał, że tak naprawdę oszustwa kręcące się wokół desktopowej wersji WhatsApp pojawiły się na długo przed opublikowaniem WhatsApp Web. Badacz wykrył kilka szkodliwych domen, których zadaniem była dystrybucja brazylijskich trojanów bankowych pod postacią fałszywych wersji WhatsApp na system Windows.

Jeśli masz zamiar zainstalować WhatsApp Web, upewnij się, że korzystasz z odpowiedniej strony

Ponadto Assolini zdemaskował inną grupę przestępców żerujących na zainteresowaniu wokół klienta WhatsApp Web. Gromadzili oni numery telefonów, a następnie zapisywali je do usług typu SMS premium, w których użytkownicy są obciążani, a cyberprzestępcy opłacani.

Nie możemy się doczekać, aż bezpieczeństwo WhatsApp Web dorówna innym usługom do komunikowania się.

Na chwilę obecną możemy jedynie poradzić Wam tyle: jeśli zamierzacie zainstalować WhatsApp Web, upewnijcie się, że korzystacie z właściwej strony.