Öryggisveikleikinn í WhatsApp nýttur til nútímalegrar vopnaframleiðslu Tryggvi Páll Tryggvason skrifar 15. maí 2019 14:15 WhatsApp er gríðarlega vinsælt samskiptaforrit en hefur ef til vill ekki notið jafn mikilla vinsælda á Íslandi og víðar í heiminum. vísir/Getty Alvarlegi öryggisveikleikinn sem uppgötvast hefur í WhatsApp-samskiptaforritinu var notaður til þess að búa til vopn svo njósna mætti um notendur forritsins. Sérfræðingur í tölvuöryggi segir að um sé að ræða nútímalega vopnaframleiðslu sem sé helst nýtt af leyniþjónustum eða sambærilegum ríkisstofnunum. Hann segir ólíklegt að almenningur þurfi að óttast að verða fyrir árás vegna veikleikans en mikilvægt sé að hafa í huga að möguleikinn sé fyrir hendi.Persónuvernd hefur borist tilkynning frá Persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. Öryggisveikleikinn getur gert utanaðkomandi aðilum kleift að setja inn ósamþykktan hugbúnað og fá aðgang að persónulegum gögnum þeirra sem hafa sett upp WhatsApp-forritið í snjallsímanum sínum.Í samtali við Vísi segir Theódór R. Gíslason, tæknistjóri tölvuöryggisfyrirtækisins Syndis að allir notendur WhatsApp hafi verið berskjaldaðir fyrir veikleikanum. Þeir sem hafi hagt hug á að nýta sér hann hafi aðeins þurft að hringja í þann sem árásin ætti að beinast gegn.„Þegar þú ert í WhatsApp þá geturðu leitað að símanúmeri og athugað hvort manneskjan sé skráð á WhatsApp. Þú getur getur hringt í það til dæmis en manneskjan þarf ekki einu sinni að svara. Þarna ertu með hugbúnað á símanum þínum sem er að taka við fyrirspurnum frá hverjum sem er. Það eina sem þú þarft að vita er símanúmerið hjá fólki sem er með WhatsApp sett upp á símanum sínum,“ segir Theódór.Þannig hafi verið hægt að nýta sér veikleikann til þess að komast í alla skilaboðasöguna sem er geymd í WhatsApp-appinu og hlusta og hlera símtöl. Theodór Ragnar Gíslason,tæknistjóri hjá Syndis.Mynd/Stöð 2„Þetta er ógeðslegur bransi“ Ítarlega hefur verið fjallað um veikleikann á vef Guardian þar sem meðal annars var rætt við lögfræðing sem telur sig hafa orðið fyrir barðinu á árás í gegnum þennan veikleika í WhatsApp. Lögfræðingurinn vinnur nú að máli sem höfðað hefur verið gegn ísraelska öryggisfyrirtækinu NSO Group sem talið er að hafa þróað vopnið sem notað er til að nýta sér þennan veikleika í WhatsApp. „Þeir starfa við það að kaupa og selja veikleika, vopnavæða veikleikana og búa til vopn. Þetta vopn er svo hægt að nota á undirförulan máta til þess að brjótast inn í síma hjá öllum sem voru að keyra WhatsApp,“ segir Theódór um ísraelska fyrirtækið. Amnesty International og fimmtíu önnur samtök hafa kallað eftir því að ísraelsk yfirvöld meini fyrirtækinu að flytja út vörur þar sem tæknilausnir fyrirtækisins séu notaðar til þess að njósna um blaðamenn og aðra sem höndla með viðkvæmar upplýsingar sem gætu komið sér illa fyrir valdamikla aðila. Glöggt má heyra á Theódóri að hann virðist ekki vera hrifinn af starfsemi fyrirtækisins né sambærilegra fyrirtækja. „Þú þarft virkilega að sérsmíða vopn til þess að geta nýtt þetta almennilega og það er ekkert grín. Svo gera þeir það og vopnavæða svona „exploita“ til þess að misnota þennan tiltekna veikleika. Við vitum að þeir hafa selt til Sádí-Arabíu og við vitum að þeir hafi selt til annarra landa. Svo nota þessar ríkisstjórnir þetta vopn frá þessu ísraelska fyrirtæki til þess að brjótast inn í síma hjá fréttamönnum, hjá fólki sem það vill njósna um og svo framvegis til þess að fá upplýsingar og líka til þess að drepa. Þetta er ógeðslegur bransi og ekkert annað en nútímavopnaframleiðsla,“ segir Theódór.Öryggisveikleikar ganga kaupum og sölum.Vísir/GettyUpplýsingar um veikleika seljast fyrir háar fjárhæðir Upplýsingar um öryggisveikleika ganga kaupum og sölum og fer verðlagning þeirra eftir ýmsu. Viti fáir um öryggisveikleikann er hann þeim mun verðmætari. Þá séu öll samskiptaforrit, líka þau sem gefa sig út fyrir að bjóða upp á örugg samskipti sjálfkrafa skotspónn fyrir fyrirtæki eins og ísraelska fyrirtækið og önnur fyrirtæki sem leita að öryggisveikleikum í hugbúnaði, enda talsverðir peningar í spilunum finnist öryggisgalli sem óprúttnir aðilar séu tilbúnir að greiða fyrir að nýta sér.„Þarna erum við að tala um það sem kallast „Zero Day.“ Það er veikleiki sem enginn annar veit af, þess vegna hefur hann virði fyrir þá sem vilja nota þetta sem vopn. Þetta er eins og flugvél sem þú getur ekki séð á radar. Strax og einhver veit af veikleika í WhatsApp er þetta einskis virði.“ segir Theódór sem telur að öryggisveikleiki í WhatsApp gangi kaupum og sölum fyrir um 500 þúsund til tvær milljónir dollara, um 60 til 240 milljónir króna.WhatsApp segist hafa komist fyrir veikleikann með uppfærsluog eru allir notendur WhatsApp hvattir til þess að uppfæra í nýjustu útgáfu forritsins.Aðspurður um hvort líklegt sé að einhverjir Íslendingar hafi orðið á barðinu fyrir árás af þessu tagi segir Theódór að ekki sé hægt að útiloka slíkt.„Það kæmi mér ekki á óvart ef einhverjir íslenskir aðilar hafi lent í þessu. Þeir þurfa þó að vera þannig að það sé eitthvað eftirsóknarvert hjá þeim út af einhverri ástæðu,“ segir Theódór.WhatsApp er í eigu Facebook. Thedór segir erfitt að kenna Facebook um öryggisveikleikann. Einbeittur brotavilji hafi ráðuð för hér.Getty/ChesnotVera vakandi fyrir símtölum frá óþekktum númerum Ekki er hlaupið að því að komast að því hvort tiltekið tæki hafi orðið fyrir barðinu á árás vegna veikleikans en alltaf eru þó einhver ummerki um slíkt sem þurfi að greina með rannsókn tölvusérfræðinga. Eins og áður segir þurfti bara að hringja í tækið í gegnum WhatsApp til þessa að nýta veikleikann og segir Theódór að því sé gott að vera vakandi fyrir hringingum frá símanúmerum sem fólk kannist ekkert við.„Það eru fyrstu ummerkin. Það eru ummerkin sem venjulegt fólk getur séð. En til þess að komast ofan í kjölinn á þessu þarftu að hafa búnað til þess eða tæki eða tól,“ segir Theódór.Almenningur þurfi þó líklega ekki að óttast það að verða fyrir barðinu á árás en gott sé að hafa í huga að möguleikinn sé fyrir hendi.„En fyrir venjulegt fólk og okkur almenning skiptir þetta ekki það miklu máli fyrir utan það að vera meðvituð um hvað er hægt. Að vita það að það er alveg sama hvaða ráðstafanir þú gerir, ef þú ert að reyna að verja samskipti þín, þá áttu ekki séns gagnvart þessum leyniþjónustum. Það er gott að vita það að ef þú ert fréttamaður eða að reyna að vinna í einhverjum viðkvæmum hlutum.“ Facebook Tækni Tölvuárásir Tengdar fréttir Facebook leggur aukna áherslu á dulkóðun Í langri blogfærslu sem Mark Zuckerberg, stofnandi og forstjóri Facebook, birti í gær segir hann að forsvarsmenn fyrirtækisins vilji standa vörð um friðhelgi einkalífsins. 7. mars 2019 10:01 Alvarlegur öryggisveikleiki í Whatsapp Persónuvernd hefur borist tilkynning frá persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. 14. maí 2019 16:23 Mest lesið Kosningavaktin: Íslendingar kjósa sér nýtt þing Innlent Kappræður gerðar upp: „Hann lenti upp á kant við nánast alla í stúdíóinu“ Innlent Kennaraverkfalli frestað Innlent „Ég sé eftir því að nokkru leyti“ Innlent Pútín hótar afdrifaríkum árásum á Kænugarð Erlent Þessi mættu best og verst í þinginu Innlent Sakborningur í Elko-málinu líka grunaður um heimilisofbeldi Innlent Samtökin '78 kæra oddvita Lýðræðisflokksins Innlent Svona gullhnullungar finnast hvergi lengur nema í Grænlandi Innlent Æfing lögreglu og fíkniefnamál ollu misskilningi Innlent Fleiri fréttir Tæplega helmingi líst vel á Samfylkingu og Viðreisn í ríkisstjórn Kennaraverkföllum frestað og áhrif veðursins á kosningar Dynjandisheiði boðin út „á allra næstu dögum“ Miklar gleðifréttir og gott að fá nemendur og starfsfólk aftur í hús Samtökin '78 kæra oddvita Lýðræðisflokksins Svona verður kosningavaka Stöðvar 2 Næststærsta gosið hingað til Kennaraverkfalli frestað „Við setjum ekki líf og limi fólks í hættu til að flytja kjörgögn“ Tveir teknir með falin fíkniefni á leið til Ísafjarðar Kappræður gerðar upp: „Hann lenti upp á kant við nánast alla í stúdíóinu“ Engin kæra borist vegna upptakanna Svifryksmengun í borginni í dag og næstu daga Bein útsending: Fundur fólksins í Hörpu Óbreytt skólahald í Sunnulækjarskóla eftir helgi Ekkert D-vítamín í kæstum hákarli Fleiri gular viðvaranir á kjördag Slæm spá fjölgar þeim sem greitt hafa atkvæði Áframhaldandi gasmengun í Grindavík Margir greiða atkvæði utan kjörfundar fyrir austan Heilskimun Intuens enn til skoðunar hjá landlæknisembættinu Þyrla Landhelgisgæslunnar kölluð út vegna slyss í íshellaferð Æfing lögreglu og fíkniefnamál ollu misskilningi Þessi mættu best og verst í þinginu Sakborningur í Elko-málinu líka grunaður um heimilisofbeldi Um 173 milljónir króna á hvern fanga í nýju fangelsi á Stóra-Hrauni Stefnir enn í hríðarveður á Austfjörðum á kjördag Erfiðara að manna í frístund í austurhluta borgarinnar „Talandi um að skila ekki til samfélagsins“ Ný kosningaspá: Sjö flokkar sem næðu inn manni Sjá meira
Alvarlegi öryggisveikleikinn sem uppgötvast hefur í WhatsApp-samskiptaforritinu var notaður til þess að búa til vopn svo njósna mætti um notendur forritsins. Sérfræðingur í tölvuöryggi segir að um sé að ræða nútímalega vopnaframleiðslu sem sé helst nýtt af leyniþjónustum eða sambærilegum ríkisstofnunum. Hann segir ólíklegt að almenningur þurfi að óttast að verða fyrir árás vegna veikleikans en mikilvægt sé að hafa í huga að möguleikinn sé fyrir hendi.Persónuvernd hefur borist tilkynning frá Persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. Öryggisveikleikinn getur gert utanaðkomandi aðilum kleift að setja inn ósamþykktan hugbúnað og fá aðgang að persónulegum gögnum þeirra sem hafa sett upp WhatsApp-forritið í snjallsímanum sínum.Í samtali við Vísi segir Theódór R. Gíslason, tæknistjóri tölvuöryggisfyrirtækisins Syndis að allir notendur WhatsApp hafi verið berskjaldaðir fyrir veikleikanum. Þeir sem hafi hagt hug á að nýta sér hann hafi aðeins þurft að hringja í þann sem árásin ætti að beinast gegn.„Þegar þú ert í WhatsApp þá geturðu leitað að símanúmeri og athugað hvort manneskjan sé skráð á WhatsApp. Þú getur getur hringt í það til dæmis en manneskjan þarf ekki einu sinni að svara. Þarna ertu með hugbúnað á símanum þínum sem er að taka við fyrirspurnum frá hverjum sem er. Það eina sem þú þarft að vita er símanúmerið hjá fólki sem er með WhatsApp sett upp á símanum sínum,“ segir Theódór.Þannig hafi verið hægt að nýta sér veikleikann til þess að komast í alla skilaboðasöguna sem er geymd í WhatsApp-appinu og hlusta og hlera símtöl. Theodór Ragnar Gíslason,tæknistjóri hjá Syndis.Mynd/Stöð 2„Þetta er ógeðslegur bransi“ Ítarlega hefur verið fjallað um veikleikann á vef Guardian þar sem meðal annars var rætt við lögfræðing sem telur sig hafa orðið fyrir barðinu á árás í gegnum þennan veikleika í WhatsApp. Lögfræðingurinn vinnur nú að máli sem höfðað hefur verið gegn ísraelska öryggisfyrirtækinu NSO Group sem talið er að hafa þróað vopnið sem notað er til að nýta sér þennan veikleika í WhatsApp. „Þeir starfa við það að kaupa og selja veikleika, vopnavæða veikleikana og búa til vopn. Þetta vopn er svo hægt að nota á undirförulan máta til þess að brjótast inn í síma hjá öllum sem voru að keyra WhatsApp,“ segir Theódór um ísraelska fyrirtækið. Amnesty International og fimmtíu önnur samtök hafa kallað eftir því að ísraelsk yfirvöld meini fyrirtækinu að flytja út vörur þar sem tæknilausnir fyrirtækisins séu notaðar til þess að njósna um blaðamenn og aðra sem höndla með viðkvæmar upplýsingar sem gætu komið sér illa fyrir valdamikla aðila. Glöggt má heyra á Theódóri að hann virðist ekki vera hrifinn af starfsemi fyrirtækisins né sambærilegra fyrirtækja. „Þú þarft virkilega að sérsmíða vopn til þess að geta nýtt þetta almennilega og það er ekkert grín. Svo gera þeir það og vopnavæða svona „exploita“ til þess að misnota þennan tiltekna veikleika. Við vitum að þeir hafa selt til Sádí-Arabíu og við vitum að þeir hafi selt til annarra landa. Svo nota þessar ríkisstjórnir þetta vopn frá þessu ísraelska fyrirtæki til þess að brjótast inn í síma hjá fréttamönnum, hjá fólki sem það vill njósna um og svo framvegis til þess að fá upplýsingar og líka til þess að drepa. Þetta er ógeðslegur bransi og ekkert annað en nútímavopnaframleiðsla,“ segir Theódór.Öryggisveikleikar ganga kaupum og sölum.Vísir/GettyUpplýsingar um veikleika seljast fyrir háar fjárhæðir Upplýsingar um öryggisveikleika ganga kaupum og sölum og fer verðlagning þeirra eftir ýmsu. Viti fáir um öryggisveikleikann er hann þeim mun verðmætari. Þá séu öll samskiptaforrit, líka þau sem gefa sig út fyrir að bjóða upp á örugg samskipti sjálfkrafa skotspónn fyrir fyrirtæki eins og ísraelska fyrirtækið og önnur fyrirtæki sem leita að öryggisveikleikum í hugbúnaði, enda talsverðir peningar í spilunum finnist öryggisgalli sem óprúttnir aðilar séu tilbúnir að greiða fyrir að nýta sér.„Þarna erum við að tala um það sem kallast „Zero Day.“ Það er veikleiki sem enginn annar veit af, þess vegna hefur hann virði fyrir þá sem vilja nota þetta sem vopn. Þetta er eins og flugvél sem þú getur ekki séð á radar. Strax og einhver veit af veikleika í WhatsApp er þetta einskis virði.“ segir Theódór sem telur að öryggisveikleiki í WhatsApp gangi kaupum og sölum fyrir um 500 þúsund til tvær milljónir dollara, um 60 til 240 milljónir króna.WhatsApp segist hafa komist fyrir veikleikann með uppfærsluog eru allir notendur WhatsApp hvattir til þess að uppfæra í nýjustu útgáfu forritsins.Aðspurður um hvort líklegt sé að einhverjir Íslendingar hafi orðið á barðinu fyrir árás af þessu tagi segir Theódór að ekki sé hægt að útiloka slíkt.„Það kæmi mér ekki á óvart ef einhverjir íslenskir aðilar hafi lent í þessu. Þeir þurfa þó að vera þannig að það sé eitthvað eftirsóknarvert hjá þeim út af einhverri ástæðu,“ segir Theódór.WhatsApp er í eigu Facebook. Thedór segir erfitt að kenna Facebook um öryggisveikleikann. Einbeittur brotavilji hafi ráðuð för hér.Getty/ChesnotVera vakandi fyrir símtölum frá óþekktum númerum Ekki er hlaupið að því að komast að því hvort tiltekið tæki hafi orðið fyrir barðinu á árás vegna veikleikans en alltaf eru þó einhver ummerki um slíkt sem þurfi að greina með rannsókn tölvusérfræðinga. Eins og áður segir þurfti bara að hringja í tækið í gegnum WhatsApp til þessa að nýta veikleikann og segir Theódór að því sé gott að vera vakandi fyrir hringingum frá símanúmerum sem fólk kannist ekkert við.„Það eru fyrstu ummerkin. Það eru ummerkin sem venjulegt fólk getur séð. En til þess að komast ofan í kjölinn á þessu þarftu að hafa búnað til þess eða tæki eða tól,“ segir Theódór.Almenningur þurfi þó líklega ekki að óttast það að verða fyrir barðinu á árás en gott sé að hafa í huga að möguleikinn sé fyrir hendi.„En fyrir venjulegt fólk og okkur almenning skiptir þetta ekki það miklu máli fyrir utan það að vera meðvituð um hvað er hægt. Að vita það að það er alveg sama hvaða ráðstafanir þú gerir, ef þú ert að reyna að verja samskipti þín, þá áttu ekki séns gagnvart þessum leyniþjónustum. Það er gott að vita það að ef þú ert fréttamaður eða að reyna að vinna í einhverjum viðkvæmum hlutum.“
Facebook Tækni Tölvuárásir Tengdar fréttir Facebook leggur aukna áherslu á dulkóðun Í langri blogfærslu sem Mark Zuckerberg, stofnandi og forstjóri Facebook, birti í gær segir hann að forsvarsmenn fyrirtækisins vilji standa vörð um friðhelgi einkalífsins. 7. mars 2019 10:01 Alvarlegur öryggisveikleiki í Whatsapp Persónuvernd hefur borist tilkynning frá persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. 14. maí 2019 16:23 Mest lesið Kosningavaktin: Íslendingar kjósa sér nýtt þing Innlent Kappræður gerðar upp: „Hann lenti upp á kant við nánast alla í stúdíóinu“ Innlent Kennaraverkfalli frestað Innlent „Ég sé eftir því að nokkru leyti“ Innlent Pútín hótar afdrifaríkum árásum á Kænugarð Erlent Þessi mættu best og verst í þinginu Innlent Sakborningur í Elko-málinu líka grunaður um heimilisofbeldi Innlent Samtökin '78 kæra oddvita Lýðræðisflokksins Innlent Svona gullhnullungar finnast hvergi lengur nema í Grænlandi Innlent Æfing lögreglu og fíkniefnamál ollu misskilningi Innlent Fleiri fréttir Tæplega helmingi líst vel á Samfylkingu og Viðreisn í ríkisstjórn Kennaraverkföllum frestað og áhrif veðursins á kosningar Dynjandisheiði boðin út „á allra næstu dögum“ Miklar gleðifréttir og gott að fá nemendur og starfsfólk aftur í hús Samtökin '78 kæra oddvita Lýðræðisflokksins Svona verður kosningavaka Stöðvar 2 Næststærsta gosið hingað til Kennaraverkfalli frestað „Við setjum ekki líf og limi fólks í hættu til að flytja kjörgögn“ Tveir teknir með falin fíkniefni á leið til Ísafjarðar Kappræður gerðar upp: „Hann lenti upp á kant við nánast alla í stúdíóinu“ Engin kæra borist vegna upptakanna Svifryksmengun í borginni í dag og næstu daga Bein útsending: Fundur fólksins í Hörpu Óbreytt skólahald í Sunnulækjarskóla eftir helgi Ekkert D-vítamín í kæstum hákarli Fleiri gular viðvaranir á kjördag Slæm spá fjölgar þeim sem greitt hafa atkvæði Áframhaldandi gasmengun í Grindavík Margir greiða atkvæði utan kjörfundar fyrir austan Heilskimun Intuens enn til skoðunar hjá landlæknisembættinu Þyrla Landhelgisgæslunnar kölluð út vegna slyss í íshellaferð Æfing lögreglu og fíkniefnamál ollu misskilningi Þessi mættu best og verst í þinginu Sakborningur í Elko-málinu líka grunaður um heimilisofbeldi Um 173 milljónir króna á hvern fanga í nýju fangelsi á Stóra-Hrauni Stefnir enn í hríðarveður á Austfjörðum á kjördag Erfiðara að manna í frístund í austurhluta borgarinnar „Talandi um að skila ekki til samfélagsins“ Ný kosningaspá: Sjö flokkar sem næðu inn manni Sjá meira
Facebook leggur aukna áherslu á dulkóðun Í langri blogfærslu sem Mark Zuckerberg, stofnandi og forstjóri Facebook, birti í gær segir hann að forsvarsmenn fyrirtækisins vilji standa vörð um friðhelgi einkalífsins. 7. mars 2019 10:01
Alvarlegur öryggisveikleiki í Whatsapp Persónuvernd hefur borist tilkynning frá persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. 14. maí 2019 16:23