Premda mnogo ljudi smatra da je enkripcija poruka u WhatsAppu ultimativna zaštita od hakerskih napada, velik broj zaobilaznih metoda otkriva da su aplikacija i sam korisnički račun i dalje izloženi opasnostima
WhatsApp je popularna i pristupačna aplikacija za razmjenu poruka i poziva. Ona nudi velik broj sigurnosnih značajki poput enkripcije poruka na dva kraja koja, među ostalim, poruke čini privatnima. Koliko god ove sigurnosne mjere bile dobre, WhatsApp i dalje nije imun na hakerske napade koji mogu ugroziti sigurnost vaših poruka i kontakata.
S tim znanjem se, doduše, možemo puno lakše pripremiti na potencijalne napade te poduzeti konkretne poteze pri izbjegavanju digitalnih prijetnji. Ovo su najčešće prijevare i hakerske zamke koje kolaju WhatsAppom.
Inficirani GIF-ovi
Sigurnosni stručnjak Awakened je krajem 2019. otkrio ranjivost u WhatsAppu pomoću koje napadač može preuzeti kontrolu nad aplikacijom korištenjem GIF-a. Napad iskorištava način na koji WhatsApp obrađuje slike nakon što korisnik otvara pogled na galeriju kad šalje slike.
Aplikacija u tom trenu obrađuje GIF kako bi prikazala njegovu kratku verziju, a GIF, s obzirom da sadrži nekoliko enkodiranih slika, u jednoj od njih može sakriti kod. Ako haker pošalje maliciozni GIF, hakeri mogu ugroziti cijelu povijest razgovora te dobiti uvid u datoteke, fotografije i videa koje šaljemo putem aplikacije.
Ranjivost je utjecala na verzije WhatsAppa sve do inačice 2.19.230 na Androidu 8.1 i 9. Awakened je, na sreću, razotkrio ranjivost, a Facebook je izdao zakrpu. Za zaštitu od ovog problema - ažurirajte WhatsApp.
Napad glasovnim pozivom Pegasus
Još jedna ranjivost WhatsAppa otkrivena je početkom 2019. Ovaj napad hakerima je dozvolio pristup uređaju jednostavnim glasovnim pozivom. Čak da meta ne odgovori na poziv, napad će i dalje biti učinkovit, što znači da žrtva ne mora biti svjesna da joj je opasan program završio na telefonu.
Napad je koristio namjerno slanje velike količine koda u mali 'spremnik' kako bi ga 'prelio' i upisao kod u lokaciju kojoj ne bi smio dobiti pristup. Nakon što haker pokrene kod u lokaciji koja je u teoriji korisna, oni mogu poduzeti niz malicioznih koraka. Napad je ovim putem instalirao staru i poznatu verziju spywarea pod imenom Pegasus. Ovo je hakerima dozvolilo sakupljanje informacija o pozivima, porukama, fotografijama i videu. Čak im je omogućilo aktiviranje kamera bez korisnikovog znanja.
Ranjivost je zahvatila Androide, iPhone, Windows 10 Mobile i Tizen uređaje te je nedavno korištena sa strane izraelske firme NSO Groupa za špijuniranje osoblja Amnesty Internationala. Nakon što se vijest proširila, WhatsApp je dobio nadogradnju koja aplikaciju zaštitila. Ako koristite WhatsApp 2.19.134 ili raniji na Androidu ili verziju 2.19.51 ili raniju na iOS-u, predlažemo da odmah ažurirate aplikaciju.
Društveni inženjering
Još jedna WhatsAppova ranjivost su takozvani napadi društvenim inženjeringom, metode koje zlorabe ljudsku psihologiju za krađu informacija ili širenje dezinformacija. Sigurnosna firma Check Point Research je otkrila jedan takav napad te mu je nadjenula ima FakesApp. Riječ je o zlouporabi značajke citata u grupnom razgovoru za izmjenu odgovora neke druge osobe.
Radilo se o podmetanju lažnih izjava koje navondo podječu od legitimnih izvora. U suštini, hakeri bi mogli podmetnuti lažne izjave za koje se čini da potječu od drugih legitimnih korisnika. Istražitelji su do otkrića prijevare došli dekripcijom WhatsAppovih komunikacija što im je dozvolilo da vide podatke koji su bili slani putem mobilne i internetske verzije WhatsAppa te su tamo mogli mijenjati vrijednosti u grupnim razgovorima - imitirati druge ljude i slati poruke koje izgledaju kao da potiču od njih.
Ovakvi napadi mogu se koristiti za širenje prijevara ili lažnih vijesti. Premda je slabost otkrivena još 2018., do danas ju nisu ispravili.
Otimanje multimedijskih datoteka
Ova metoda zlorabi poznatu ranjivost WhatsAppa i Telegrama. Riječ je o iskorištavanju načina na koji druge aplikacije zaprimaju fotografije i videe te ih upisuju na vanjsku memoriju uređaja. Napad počinje instaliranje malwarea skrivenog u naoko bezopasnoj aplikaciji. Softver nakon toga nadgleda nadolazeće datoteke za WhatsApp ili Telegram. Nakon što stigne nova datoteka, malware ju zamijeni lažnom.
Za zaobilazak ove ranjivosti uđite u postavke WhatsAppa i uđite u postavke razgovora. Tamo isključite opciju spremanja u galeriju. Trajno rješenje, doduše, traži malo više od toga i, piše Makeuseof, još nije u cijelosti sprovedeno zbog problema pri standardizaciji i primjeni na sve postojeće aplikacije.
Plaćene vanjske aplikacije
Na tržištu postoji velik broj aplikacija koje služe za hakiranje u osigurane sustave. Njhovi prodavači mogu biti velike korporacije koje surađuju sa opresivnim režimima koji ciljaju aktiviste i novinare ili jednostavnije - kriminalci koji žele doći do vaših podataka.
Applikacije poput Spyzie i mSPY hakeru omogućavaju provalu u WhatsApp i krađu privatnih podataka. Sve što haker mora napraviti je kupiti aplikaciju, instalirati ju i aktivirati ju na ciljanom uređaju, nakon čega može sjesti za računalo i povezati se na smartfon putem weba te nakon toga pretraživati po porukama, kontaktima, statusima i tako dalje.
Ako se želite zaštititi od ovakvih napada, cijelo vrijeme vodite računa o tome gdje držite smartfon i ne dozvolite da završi u krivim rukama.