Artikel top billede

Alvorlig sikkerhedsbrist i gratis SMS-app

Sikkerheden i tjeneste, der håndterer over to milliarder beskeder hver dag, er dybt problematisk.

Læs også:

Gratis SMS-tjeneste kan blotte dine beskeder

Her er sms-beskedens gratis afløsere

Sms-dyk tvinger teleselskaber til at ændre strategi

WhatsApp kan nemt hackes med hjælp fra forskellige tilgængelige værktøjer.

Alle, der bruger WhatsApp på et offentligt Wi-Fi-netværk, risikerer at få sniffet deres data eller misbrugt deres konto til at sende og modtage beskeder.

Hvis kontoen har været hacket, er der ingen måde at genoprette sikkerheden, og bagmanden kan blive ved med at bruge den hackede konto.

Det skriver The H Security.

Alt andet end diskret

En række samarbejdspartnere til The H Security har kortlagt sikkerhedsbristen gennem en række tests. Den klient, WhatsApp benytter, bruger et internt password til at logge på serveren.

På Andorid-telefoner bliver kodeordet genereret fra mobilens serienummer (IMEI), mens det på iOS bliver genereret fra MAC-adressen på Wi-Fi-netværkets interface.

Problemet er, at informationen er alt andet end diskret. For eksempel kan IMEI tit findes på mærkater inde i selve telefonen og kan herudover også let tilgås ved at bruge en speciel genvejstast eller ved hjælp af en App.

Og det er endnu nemmere, når det kommer til iOS, for her er MAC-addressen synlig for alle, der kan logge på det Wi-Fi-netværk, der bliver brugt.  

WhatsApp

WhatsApp Messenger er en applikation designet til smartphones, hvor brugeren kan sende SMS'er, billeder, videoer og lyd via data-netværk og således undgå SMS-taksten.

Det er praktisk, hvis man er i udlandet og har adgang til et WiFi-net. Dermed undgår man teleselskabernes til tider høje takster. 

Tjenesten håndterer over to milliarder beskeder hver dag, men har løbende været udsat for kritik af sikkerheden.  

Det førte blandt andet til, at WhatsApp blev fjernet fra iOS App Store i januar. Fire dage efter var den dog tilbage igen. 

Allerede i maj skrev Computerworld om sikkerhedsproblemerne med tjenesten, men nu hagler kritikken altså igen ned over WhatsApp.  

Piece of cake

"Taking over the account is child's play - attackers don't even need to know who their victim is," skriver The H Security.

Testene viser blandt andet, at det er muligt at overtage både Android- og iOS-kontoer, at sende og modtage beskeder uden brugerens kendskab, samt at der ikke er nogen mulighed for at ændre sit kodeord i bestræbelserne på at sikre sig.

Læs også:

Gratis SMS-tjeneste kan blotte dine beskeder

Her er sms-beskedens gratis afløsere

Sms-dyk tvinger teleselskaber til at ændre strategi




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere