Một lỗ hổng trong WhatsApp cho phép bất kỳ ứng dụng Android nào có quyền truy cập vào thẻ SD đều có thể đọc và tải lên tin nhắn trò chuyện của bạn.
Về mặt lý thuyết, hầu hết mọi ứng dụng Android đều có thể truy cập lịch sử trò chuyện của bạn trong WhatsApp.
Tất cả những gì ứng dụng cần làm là có quyền truy cập đọc và ghi vào thẻ SD của điện thoại. Không khó lắm vì hầu hết người dùng sẽ cấp quyền đó mà không cần suy nghĩ.
[related_article id=”158578″]
Không có mã hóa thích hợp
Nguyên nhân của vấn đề bảo mật nằm ở cả WhatsApp và Android. WhatsApp lưu trữ cơ sở dữ liệu lịch sử trò chuyện trên thẻ SD của bạn mà không mã hóa tệp đúng cách. Theo Bas Bosschert, nhà tư vấn người Hà Lan, người đã vạch trần vụ rò rỉ, việc giải mã là một việc dễ dàng. Trên thực tế, các phiên bản cũ hơn của chương trình trò chuyện phổ biến này hoàn toàn không mã hóa cơ sở dữ liệu.
Về phần mình, Android có chính sách tất cả hoặc không có gì. Ứng dụng có toàn quyền truy cập vào thẻ SD hoặc không có gì cả. Điều này có nghĩa là bất kỳ ứng dụng nào có quyền truy cập vào bộ nhớ ngoài đều có thể truy cập ngay vào tất cả các tệp trên đó. Hoàn toàn trái ngược với chính sách riêng của Appletrong đó một ứng dụng chạy ở một dạng cách ly.
Đối với các nhà phát triển, chức năng đó thật tuyệt vời, do đó họ có thể phát triển phần mềm rất phong phú. Tất nhiên, mặt trái của vấn đề là dữ liệu được mã hóa và bảo vệ kém có thể được đọc hoặc tải lên bởi một ứng dụng không đáng tin cậy.
Cách đánh cắp cơ sở dữ liệu
Bosschert trình diễn trên blog của anh ấy thật dễ dàng để ẩn một vài dòng mã trong trò chơi. Mã có thể tải cơ sở dữ liệu WhatsApp lên máy chủ từ xa mà không gặp bất kỳ sự cố nào trong khi người dùng điện thoại được hiển thị màn hình tải bình thường. Đặt mã như vậy vào một bản sao Flappy Bird và đảm bảo bạn có thể có được rất nhiều nhật ký trò chuyện.
Nếu bạn sợ điều đó Facebook WhatsApp đã mua để đọc tin nhắn của bạn nên bạn có thể yên tâm. Vụ rò rỉ đã xảy ra từ lâu nên Mark Zuckerberg có thể đọc nó trong hơn một năm nếu muốn.
Cập nhật 3h45 chiều:
Trong khi đó, WhatsApp đã phản hồi yêu cầu của Bas Bosschert. Theo công ty, không có vấn đề gì với bảo mật của WhatsApp miễn là người dùng không tự cài đặt phần mềm độc hại hoặc vi-rút. Người phát ngôn cho biết: “Trong những trường hợp bình thường, dữ liệu trên bộ nhớ ngoài sẽ không bị lộ”. Công ty nhấn mạnh rằng người dùng phải tải xuống một ứng dụng không đáng tin cậy trước khi xảy ra rủi ro bảo mật.
Bản cập nhật mới sẽ bảo vệ hơn nữa những người dùng tải xuống và cài đặt thứ gì đó nguy hiểm. Nhưng theo Bosschert, bản cập nhật không giải quyết được vấn đề. Thực tế là những người giới hạn bản thân trong các ứng dụng phổ biến từ các nhà phát triển có uy tín có lẽ không thực sự gặp rủi ro.
