WhatsApp pomanjkljivo skrbi za zasebnost
Matej Huš
9. feb 2015 ob 22:05:50
Ustroj mobilne aplikacije za pošiljanje sporočil (in v prihodnosti tudi glasovne storitve) dopušča resno varnostno pomanjkljivost, ki napadalcu omogoča globlji poseg v zasebnost uporabnika, kot bi slednji želel. Čeprav je WhatsApp napovedal šifriranje pogovorov, imajo po drugi strani v samem dizajnu luknjo, ki sicer ne omogoča prisluškovanja komunikaciji, omogoča pa pridobivati podatke o aktivnosti uporabnika.
Pomanjkljivost je opazil Maikel Zweerink in spisal orodje, ki služi kot demonstracija koncepta. Za uporabo potrebujete le napravo z mobilno številko, ki ni registrirana v WhatsApp, in že lahko za poljubnega uporabnika, čigar telefonsko številko poznate, spremljate aktivnost. To pomeni, da lahko vidite, kdaj je bil dosegljiv prek WhatsAppa in kdaj ne, kdaj je spremenil profilno sliko, kdaj je menjal statusno sporočilo ter kdaj je spreminjal katerekoli nastavitve zasebnosti.
Prav v slednjih tiči zajec. WhatsApp omogoča nastavitev, kdo ima dostop do funkcije Last Seen, ki pokaže zadnjo uporabnikovo prijavo v storitev. Četudi izberete Only Me, torej efektivno izključite to možnost, bodo vaši kontakti še vedno lahko videli, da ste se vpisali v WhatsApp, če bodo tisti hip tudi sami prijavljeni. To ni nobena luknja, tak je dizajn storitve. Od tod Zweerinku ni bilo težko napisati aplikacije, ki te podatke zbira in lično predstavi v grafični obliki. Pogoj je, da je aplikacija pognana, torej podatkov ne moremo pridobivati za nazaj.
S tem sicer ne moremo dobiti podatkov o vsebini komunikacije niti prometnih podatkov, je pa vseeno zaskrbljujoče dejstvo, da lahko popolni neznanci spremljajo vaše navade, kdaj uporabljate aplikacijo. Zweerink je spisal podrobna navodila, kako lahko tudi sami preizkusite ranljivost. Potrebujete mobilni telefon, nenehno dosegljiv strežnik (sam priporoča Raspberry Pi), Nginx ali Apache, PHP in PostgresSQL.