21:36
3/12/2014

Ta wiadomość zawiesza aplikację WhatsApp

2 badaczy bezpieczeństwa IT z Indii odkryło błąd w popularnym komunikatorze WhatsApp (korzysta z niego 500 milionów użytkowników). Wiadomość w skład której wejdzie odpowiedni ciąg znaków powoduje kompletnie zawieszenie się aplikacji u odbiorcy wiadomości.

Jan Persiel/Flickr (Creative Commons)

Jan Persiel/Flickr (Creative Commons)

Jak zawiesić aplikacje?

Jak demonstrują Indrajeet Bhuyan i Saurav Kar, aby spowodować zawieszenie się aplikacji wystarczy wysłać do drugiej osoby wiadomość w skład której wchodzi 2000 znaków specjalnych.

W powyższym przypadku użyte zostały znaki chińskiego alfabetu, ale najprawdopodobniej taki sam efekt osiągnie się innymi “niestandardowymi” znakami Unicode. Zawieszenie aplikacji poprzez przesłanie do niej znaków specjalnych to dość częsty problem — jakiś czas temu opisywaliśmy podobny przypadek w urządzeniach Apple.

Czy błąd jest groźny?

Sklasyfikowanie stopnia zagrożenia luki nie jest oczywiste. Nie powoduje ona żadnego trwałego uszkodzenia oprogramowania ani urządzenia, ale ma jednak pewien efekt uboczny. Po otwarciu nadesłanej wiadomości każda próba ponownego otwarcia czatu z daną osobą będzie powodowała zawieszenie się aplikacji (ładowana jest historia rozmów). Jedynym sposobem ponownego nawiązania kontaktu z danym użytkownikiem jest usunięcie całej historii rozmów. Wielkość szkód zależy więc od tego, jak ważna była przeprowadzona konwersacja.

Problem dotyczy użytkowników aplikacji WhatsApp w wersji 2.11.431 i 2.11.432 na telefonach z systemem Android od wersji Kitkat w dół. Oznacza to potencjalny problem dla 500 milionów Androidowych użytkowników aplikacji. Nie sprawdzono jeszcze, czy luka działa pod systemem iOS. Co ciekawe jednak, nie działa ona systemie Windows 8.1, więc użytkownicy okienek mogą spać spokojnie.

Co można zrobić?

Twórcy WhatsApp zapewne szybko wypuszczą poprawkę. Ale ponieważ atak jest łatwy do przeprowadzenia, może okazać się, że skorzystają z niego osoby, które chciałyby wymusić skasowanie kompromitujących je materiałów z telefonu rozmówcy. Aby się przed tym zabezpieczyć, drodzy szantażyści ;) dobrym pomysłem może być dodatkowy backup lub eksport rozmowy. Można tego dokonać w opcjach konwersacji (Tu dokładne instrukcje).

Przeczytaj także:

18 komentarzy

Dodaj komentarz
  1. A nie wystarczy w ramach “zabezpieczenia się” nie otwierać danej rozmowy do czasu wypuszczenia poprawki?

  2. Albo skopiowanie bazy danych i otwarcie jej np. navicatem?

  3. Albo usunięcie konkretnej wiadomości korzystając z innego systemu (Windows 8.1)?

  4. A co z wersją na bb ? :)

    • Ty i twój kolega jesteście obaj bezpieczni :)

    • Uff, całe szczęście. Pozdrawiam Tomka :)

  5. Dwa dni temu po przeczytaniu artykułu od razu przetestowałem u kolegi z Androidem, fajna reakcja była na drugi dzień jak go spotkałem :P
    Na iOS nie zawiesza mi telefonu, błąd występuje jedynie na Androidzie.

  6. Wiele roznych programow mozna zawiescic przez nadmiarowe dane, np. takiego Excela. Czy to jest news warty wspominania?

    • Pewnie – bo to android władca rynku a nie jakiś syfos fapple ‘;-=p

  7. Najciekawsze jest to co znajdziemy w logcacie, co wzkazuje, że błąd wcale nie musi dotyczyć tylko WhatsAppa:

    http://pastebin.com/VvuS8q8h

  8. Darowałem sobie WhatsApp zaraz po przejęciu przez FB.
    Viber, nie jest to złoty środek ale jakoś tak podświadomie lepiej się czuje.

  9. Z tych 500 milionów jakieś kilka/naście tysięcy dowie się o błędzie, pocztą pantoflową lub psikusami zostanie dotkniętych następne dziesiąt/set tysięcy, a pozostała większość będzie żyła w słodkiej nieświadomości :-) (czego im zazdroszczę)

  10. Właśnie próbowałem napisać taką wiadomość:
    1) nie udało mi się jej wysłać, bo aplikacja się zawiesiła
    2) każda próba otworzenia whatsappa i napisania wiadomości kończy się zwisem programu, mimo, że poprzedniej wiadomości nie ma nigdzie zapisanej, a appka była “ubita”.

    Tak się dzieje przynajmniej na wersji na iphone’a.

    • Małe sprostowanie – kopiowałem wiadomość (kopiuj – wklej), teraz w ogóle nie mogę nic pisać, w żadnej appcę.

  11. Właśnie testowałem na bracie, wysłałem ponad 2000 specjalnych znaków i nic mu nie zawiesza.

    • Pomyliłeś się przy którymś znaku.

  12. Nie ma czegoś takiego jak chiński alfabet, jest chińskie pismo :)

  13. A co z whatsapp + ? ;-)

Odpowiadasz na komentarz alexis

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: