2014年3月17日 星期一

專家警告:Android版WhatsApp有漏洞,訊息可被竊聽

專家警告:Android版WhatsApp有漏洞,訊息可被竊聽


WhatsApp的通話訊息資料庫是儲存在手機SD卡上,若經使用者允許,SD卡上的資訊也能為其他應用存取。由於大部份用戶都未做任何限制,因此WhatsApp使用者的訊息資料庫極可能被其他應用,包括惡意程式取得,並且上傳到外部網路。Bosschert還為此寫了概念驗證程式。不過有些媒體分析認為,這個問題並非完全出在WhatsApp上,因為iOS版的Whatsapp並沒有這個問題。

安全專家發現一項Android版WhatsApp的漏洞,讓WhatsApp用戶的對話訊息可能被竊聽

荷蘭安全顧問公司DoubleThink技術長Bas Bosschert指出,WhatsApp的通話訊息資料庫是儲存在手機SD卡上,若經使用者允許,SD卡上的資訊也能為其他應用存取。由於大部份用戶都未做任何限制,因此WhatsApp使用者的訊息資料庫極可能被其他應用,包括惡意程式取得,並且上傳到外部網路。

Bosschert還為此寫了概念驗證程式。他撰寫出一款遊戲應用,以可愛的載入畫面來分散使用者注意,同時偷偷將WhatsApp資料庫上傳到外部網站。舊版WhatsApp資料庫是SQLite3,可被轉換成Excel讀取。新版WhatsApp已加密儲存訊息資料庫,無法以SQLite讀取,雖然相較之下較為安全,但研究人員還是寫了支python程式將之破解。Bosschert表示,幾乎所有Android應用都能讀取WhatsApp資料庫,即使加密也難保資料的安全性。

不過有些媒體分析認為,這個問題並非完全出在WhatsApp上,因為iOS版的Whatsapp並沒有這個問題。例如Techcrunch表示,Android資料沙箱系統也有問題,相較之下,iOS就不允許某項應用的沙箱為其他應用存取,較能防止不肖人士竊取資料。

WhatsApp的龐大用戶數將使這項消息更顯嚴重。目前WhatApp用戶多達4.5億,令Facebook今年二月砸下190億美金來收購這家手機通訊軟體公司。

轉載自《iThome》