Studie odhalila možné útoky na “bezpečné” messengery

12. 12. 2018

Vitor Ventura zveřejnil na blogu výsledky studie Cisco Talos, která se zaměřila na tři aplikace pro posílání zpráv – Signal, Whatsapp a Telegram.

U všech tří výzkumníci popsali možné útoky na desktopové verze (verze pro běžné počítače), u Telegramu i na aplikaci v mobilním telefonu. U všech tří se podařilo použít kopii session na jiném zařízení, útočník tak může číst jak aktuální, tak uložené zprávy.

Jak útok poznáte?

Nejsložitější je to u Telegramu – zjistíte to pouze v nastavení, kde si zobrazíte aktivní instance:

https://2.bp.blogspot.com/-Y0BuRAXnbGk/XA6N_KNxdTI/AAAAAAAAAWM/OCNX3RYGlJYY2T_TrSwGy8MkFu4OG3zmACK4BGAYYCw/s1600/image3.png

Navíc může být napadena i aplikace v mobilním telefonu. Jiná (škodlivá) aplikace může získat přístup ke zprávám.

U Signalu může být varováním chybová hláška, kterou se uživateli zobrazí na počítači (nikoliv v telefonu). Jak vaše, tak ukradená session totiž “soupeří” o vaše zprávy. Pokud se chybová hláška objeví, zkontrolujte v nastavení aplikace v telefonu připojená zařízení. Pokud vidíte jiné zařízení, než které znáte, je velmi pravděpodobné, že ste se stali obětí útoku. I když útočníka odpojíte, mohl si již přečíst všechny vaše zprávy a kontakty.

Whatsapp je jediná ze tří aplikací, která vás upozorní na spuštění desktopové aplikace. Ta je ovšem již spuštěna (do doby, než jí zakážete) a útočník se tak opět mohl dostat k vašim zprávám a kontaktům.

Co s tím?

Prvním krokem by mělo být odinstalace dotčených programů z počítače a používání pouze aplikací v mobilním telefonu. Nespoléhejte se ale na absolutní bezpečnost aplikací. I když je Signal obecně odborníky považován za aktuálně nejbezpečnější způsob online komunikace a zprávy nejsou při přenosu rozluštitelné žádnou známou metodou, mohou být vaše zprávy kompromitovány přímo ve vašem zařízení.
Navíc Telegram není odbornou veřejností považován za bezpečný messenger, neměli byste ho používat pro posílání citlivějších informací (např. soukromých fotografií apod.).

Milan

Jmenuji se Milan Půlkrábek, pamatuji si počítače bez internetu, Internet bez Google a mobilní komunikaci bez šifrování. Mám za sebou více než dvacet let profesionální praxe v IT, přednáším a píšu články o IT bezpečnosti, kryptoměnách a nových technologiích. Od roku 2014 jsem součástí nezikové organizace Paralelní Polis v Praze.