Öryggisveikleikinn í WhatsApp nýttur til nútímalegrar vopnaframleiðslu Tryggvi Páll Tryggvason skrifar 15. maí 2019 14:15 WhatsApp er gríðarlega vinsælt samskiptaforrit en hefur ef til vill ekki notið jafn mikilla vinsælda á Íslandi og víðar í heiminum. vísir/Getty Alvarlegi öryggisveikleikinn sem uppgötvast hefur í WhatsApp-samskiptaforritinu var notaður til þess að búa til vopn svo njósna mætti um notendur forritsins. Sérfræðingur í tölvuöryggi segir að um sé að ræða nútímalega vopnaframleiðslu sem sé helst nýtt af leyniþjónustum eða sambærilegum ríkisstofnunum. Hann segir ólíklegt að almenningur þurfi að óttast að verða fyrir árás vegna veikleikans en mikilvægt sé að hafa í huga að möguleikinn sé fyrir hendi.Persónuvernd hefur borist tilkynning frá Persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. Öryggisveikleikinn getur gert utanaðkomandi aðilum kleift að setja inn ósamþykktan hugbúnað og fá aðgang að persónulegum gögnum þeirra sem hafa sett upp WhatsApp-forritið í snjallsímanum sínum.Í samtali við Vísi segir Theódór R. Gíslason, tæknistjóri tölvuöryggisfyrirtækisins Syndis að allir notendur WhatsApp hafi verið berskjaldaðir fyrir veikleikanum. Þeir sem hafi hagt hug á að nýta sér hann hafi aðeins þurft að hringja í þann sem árásin ætti að beinast gegn.„Þegar þú ert í WhatsApp þá geturðu leitað að símanúmeri og athugað hvort manneskjan sé skráð á WhatsApp. Þú getur getur hringt í það til dæmis en manneskjan þarf ekki einu sinni að svara. Þarna ertu með hugbúnað á símanum þínum sem er að taka við fyrirspurnum frá hverjum sem er. Það eina sem þú þarft að vita er símanúmerið hjá fólki sem er með WhatsApp sett upp á símanum sínum,“ segir Theódór.Þannig hafi verið hægt að nýta sér veikleikann til þess að komast í alla skilaboðasöguna sem er geymd í WhatsApp-appinu og hlusta og hlera símtöl. Theodór Ragnar Gíslason,tæknistjóri hjá Syndis.Mynd/Stöð 2„Þetta er ógeðslegur bransi“ Ítarlega hefur verið fjallað um veikleikann á vef Guardian þar sem meðal annars var rætt við lögfræðing sem telur sig hafa orðið fyrir barðinu á árás í gegnum þennan veikleika í WhatsApp. Lögfræðingurinn vinnur nú að máli sem höfðað hefur verið gegn ísraelska öryggisfyrirtækinu NSO Group sem talið er að hafa þróað vopnið sem notað er til að nýta sér þennan veikleika í WhatsApp. „Þeir starfa við það að kaupa og selja veikleika, vopnavæða veikleikana og búa til vopn. Þetta vopn er svo hægt að nota á undirförulan máta til þess að brjótast inn í síma hjá öllum sem voru að keyra WhatsApp,“ segir Theódór um ísraelska fyrirtækið. Amnesty International og fimmtíu önnur samtök hafa kallað eftir því að ísraelsk yfirvöld meini fyrirtækinu að flytja út vörur þar sem tæknilausnir fyrirtækisins séu notaðar til þess að njósna um blaðamenn og aðra sem höndla með viðkvæmar upplýsingar sem gætu komið sér illa fyrir valdamikla aðila. Glöggt má heyra á Theódóri að hann virðist ekki vera hrifinn af starfsemi fyrirtækisins né sambærilegra fyrirtækja. „Þú þarft virkilega að sérsmíða vopn til þess að geta nýtt þetta almennilega og það er ekkert grín. Svo gera þeir það og vopnavæða svona „exploita“ til þess að misnota þennan tiltekna veikleika. Við vitum að þeir hafa selt til Sádí-Arabíu og við vitum að þeir hafi selt til annarra landa. Svo nota þessar ríkisstjórnir þetta vopn frá þessu ísraelska fyrirtæki til þess að brjótast inn í síma hjá fréttamönnum, hjá fólki sem það vill njósna um og svo framvegis til þess að fá upplýsingar og líka til þess að drepa. Þetta er ógeðslegur bransi og ekkert annað en nútímavopnaframleiðsla,“ segir Theódór.Öryggisveikleikar ganga kaupum og sölum.Vísir/GettyUpplýsingar um veikleika seljast fyrir háar fjárhæðir Upplýsingar um öryggisveikleika ganga kaupum og sölum og fer verðlagning þeirra eftir ýmsu. Viti fáir um öryggisveikleikann er hann þeim mun verðmætari. Þá séu öll samskiptaforrit, líka þau sem gefa sig út fyrir að bjóða upp á örugg samskipti sjálfkrafa skotspónn fyrir fyrirtæki eins og ísraelska fyrirtækið og önnur fyrirtæki sem leita að öryggisveikleikum í hugbúnaði, enda talsverðir peningar í spilunum finnist öryggisgalli sem óprúttnir aðilar séu tilbúnir að greiða fyrir að nýta sér.„Þarna erum við að tala um það sem kallast „Zero Day.“ Það er veikleiki sem enginn annar veit af, þess vegna hefur hann virði fyrir þá sem vilja nota þetta sem vopn. Þetta er eins og flugvél sem þú getur ekki séð á radar. Strax og einhver veit af veikleika í WhatsApp er þetta einskis virði.“ segir Theódór sem telur að öryggisveikleiki í WhatsApp gangi kaupum og sölum fyrir um 500 þúsund til tvær milljónir dollara, um 60 til 240 milljónir króna.WhatsApp segist hafa komist fyrir veikleikann með uppfærsluog eru allir notendur WhatsApp hvattir til þess að uppfæra í nýjustu útgáfu forritsins.Aðspurður um hvort líklegt sé að einhverjir Íslendingar hafi orðið á barðinu fyrir árás af þessu tagi segir Theódór að ekki sé hægt að útiloka slíkt.„Það kæmi mér ekki á óvart ef einhverjir íslenskir aðilar hafi lent í þessu. Þeir þurfa þó að vera þannig að það sé eitthvað eftirsóknarvert hjá þeim út af einhverri ástæðu,“ segir Theódór.WhatsApp er í eigu Facebook. Thedór segir erfitt að kenna Facebook um öryggisveikleikann. Einbeittur brotavilji hafi ráðuð för hér.Getty/ChesnotVera vakandi fyrir símtölum frá óþekktum númerum Ekki er hlaupið að því að komast að því hvort tiltekið tæki hafi orðið fyrir barðinu á árás vegna veikleikans en alltaf eru þó einhver ummerki um slíkt sem þurfi að greina með rannsókn tölvusérfræðinga. Eins og áður segir þurfti bara að hringja í tækið í gegnum WhatsApp til þessa að nýta veikleikann og segir Theódór að því sé gott að vera vakandi fyrir hringingum frá símanúmerum sem fólk kannist ekkert við.„Það eru fyrstu ummerkin. Það eru ummerkin sem venjulegt fólk getur séð. En til þess að komast ofan í kjölinn á þessu þarftu að hafa búnað til þess eða tæki eða tól,“ segir Theódór.Almenningur þurfi þó líklega ekki að óttast það að verða fyrir barðinu á árás en gott sé að hafa í huga að möguleikinn sé fyrir hendi.„En fyrir venjulegt fólk og okkur almenning skiptir þetta ekki það miklu máli fyrir utan það að vera meðvituð um hvað er hægt. Að vita það að það er alveg sama hvaða ráðstafanir þú gerir, ef þú ert að reyna að verja samskipti þín, þá áttu ekki séns gagnvart þessum leyniþjónustum. Það er gott að vita það að ef þú ert fréttamaður eða að reyna að vinna í einhverjum viðkvæmum hlutum.“ Facebook Tækni Tölvuárásir Tengdar fréttir Facebook leggur aukna áherslu á dulkóðun Í langri blogfærslu sem Mark Zuckerberg, stofnandi og forstjóri Facebook, birti í gær segir hann að forsvarsmenn fyrirtækisins vilji standa vörð um friðhelgi einkalífsins. 7. mars 2019 10:01 Alvarlegur öryggisveikleiki í Whatsapp Persónuvernd hefur borist tilkynning frá persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. 14. maí 2019 16:23 Mest lesið Setti ofan í við Ingu: „Vert þú ekki með þennan skæting við mig“ Innlent Sádar sagðir hafa sent fjórar viðvaranir Erlent Skutu niður eigin herþotu yfir Rauðahafi Erlent „Ég fæ ekki séð hvaða rugl þetta er“ Innlent „Þú veist að ég er sú sem að passar best hérna inn“ Innlent Segir Helga Magnús óhæfan til að gegna embættinu Innlent Fyrsti læknirinn í heilbrigðisráðuneytinu Innlent „Kurr í greininni í dag um að þetta skuli hvort tveggja vera á matseðlinum“ Innlent „Ég veit að þér mun sömuleiðis líða vel hér“ Innlent Yfirgaf jólatónleika í sjúkrabíl Innlent Fleiri fréttir Nýr flugvöllur opnar nýjar dyr fyrir Suður-Grænland Tvö tröllvaxin mál og sækja eigi tekjurnar í fiskinn „Heimsins furðulegasti fiskur“ afhentur í fjármálaráðuneytinu Kirkjutröppurnar opnaðar að nýju og hiti í hverju þrepi Setti ofan í við Ingu: „Vert þú ekki með þennan skæting við mig“ Umferðartafir vegna bílveltu á Mýrum Lyklaskipti og afmæli elsta Íslendingsins Segir Helga Magnús óhæfan til að gegna embættinu „Þannig að jólin komu snemma hjá mér“ „Ég fæ ekki séð hvaða rugl þetta er“ Fyrsti læknirinn í heilbrigðisráðuneytinu Það bráðvantar börn á leikskólann á Hvanneyri „Þú veist að ég er sú sem að passar best hérna inn“ „Ein allra besta jólagjöfin“ „Ég veit að þér mun sömuleiðis líða vel hér“ Skortur á sjúkragæslu á viðburðum hafi áhrif á neyðarþjónustu Eftirliti á viðburðum ábótavant og skynsemi í orkumálum Vegir víða hálir á morgun og blint á fjallvegum Stjórnarleiðtogar sitja fyrir svörum á Sprengisandi „Afskaplega róleg“ nótt hjá lögreglumönnum Þakklæti, auðmýkt, rok og söngur ríkisstjórnarinnar „Kurr í greininni í dag um að þetta skuli hvort tveggja vera á matseðlinum“ Breytingar á ráðuneytum taka ekki gildi fyrr en í mars Mest skreytta jólahúsið í Hveragerði Yfirgaf jólatónleika í sjúkrabíl Ný ríkisstjórn Íslands: „Við erum orðnar vinkonur“ Allt um nýja ríkisstjórn Íslands í kvöldfréttum Krónan muni veikjast og allir halda að sér höndum Þjóðaratkvæðagreiðsla um ESB eigi síðar en 2027 „Mjög þunn súpa, lítið í henni“ Sjá meira
Alvarlegi öryggisveikleikinn sem uppgötvast hefur í WhatsApp-samskiptaforritinu var notaður til þess að búa til vopn svo njósna mætti um notendur forritsins. Sérfræðingur í tölvuöryggi segir að um sé að ræða nútímalega vopnaframleiðslu sem sé helst nýtt af leyniþjónustum eða sambærilegum ríkisstofnunum. Hann segir ólíklegt að almenningur þurfi að óttast að verða fyrir árás vegna veikleikans en mikilvægt sé að hafa í huga að möguleikinn sé fyrir hendi.Persónuvernd hefur borist tilkynning frá Persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. Öryggisveikleikinn getur gert utanaðkomandi aðilum kleift að setja inn ósamþykktan hugbúnað og fá aðgang að persónulegum gögnum þeirra sem hafa sett upp WhatsApp-forritið í snjallsímanum sínum.Í samtali við Vísi segir Theódór R. Gíslason, tæknistjóri tölvuöryggisfyrirtækisins Syndis að allir notendur WhatsApp hafi verið berskjaldaðir fyrir veikleikanum. Þeir sem hafi hagt hug á að nýta sér hann hafi aðeins þurft að hringja í þann sem árásin ætti að beinast gegn.„Þegar þú ert í WhatsApp þá geturðu leitað að símanúmeri og athugað hvort manneskjan sé skráð á WhatsApp. Þú getur getur hringt í það til dæmis en manneskjan þarf ekki einu sinni að svara. Þarna ertu með hugbúnað á símanum þínum sem er að taka við fyrirspurnum frá hverjum sem er. Það eina sem þú þarft að vita er símanúmerið hjá fólki sem er með WhatsApp sett upp á símanum sínum,“ segir Theódór.Þannig hafi verið hægt að nýta sér veikleikann til þess að komast í alla skilaboðasöguna sem er geymd í WhatsApp-appinu og hlusta og hlera símtöl. Theodór Ragnar Gíslason,tæknistjóri hjá Syndis.Mynd/Stöð 2„Þetta er ógeðslegur bransi“ Ítarlega hefur verið fjallað um veikleikann á vef Guardian þar sem meðal annars var rætt við lögfræðing sem telur sig hafa orðið fyrir barðinu á árás í gegnum þennan veikleika í WhatsApp. Lögfræðingurinn vinnur nú að máli sem höfðað hefur verið gegn ísraelska öryggisfyrirtækinu NSO Group sem talið er að hafa þróað vopnið sem notað er til að nýta sér þennan veikleika í WhatsApp. „Þeir starfa við það að kaupa og selja veikleika, vopnavæða veikleikana og búa til vopn. Þetta vopn er svo hægt að nota á undirförulan máta til þess að brjótast inn í síma hjá öllum sem voru að keyra WhatsApp,“ segir Theódór um ísraelska fyrirtækið. Amnesty International og fimmtíu önnur samtök hafa kallað eftir því að ísraelsk yfirvöld meini fyrirtækinu að flytja út vörur þar sem tæknilausnir fyrirtækisins séu notaðar til þess að njósna um blaðamenn og aðra sem höndla með viðkvæmar upplýsingar sem gætu komið sér illa fyrir valdamikla aðila. Glöggt má heyra á Theódóri að hann virðist ekki vera hrifinn af starfsemi fyrirtækisins né sambærilegra fyrirtækja. „Þú þarft virkilega að sérsmíða vopn til þess að geta nýtt þetta almennilega og það er ekkert grín. Svo gera þeir það og vopnavæða svona „exploita“ til þess að misnota þennan tiltekna veikleika. Við vitum að þeir hafa selt til Sádí-Arabíu og við vitum að þeir hafi selt til annarra landa. Svo nota þessar ríkisstjórnir þetta vopn frá þessu ísraelska fyrirtæki til þess að brjótast inn í síma hjá fréttamönnum, hjá fólki sem það vill njósna um og svo framvegis til þess að fá upplýsingar og líka til þess að drepa. Þetta er ógeðslegur bransi og ekkert annað en nútímavopnaframleiðsla,“ segir Theódór.Öryggisveikleikar ganga kaupum og sölum.Vísir/GettyUpplýsingar um veikleika seljast fyrir háar fjárhæðir Upplýsingar um öryggisveikleika ganga kaupum og sölum og fer verðlagning þeirra eftir ýmsu. Viti fáir um öryggisveikleikann er hann þeim mun verðmætari. Þá séu öll samskiptaforrit, líka þau sem gefa sig út fyrir að bjóða upp á örugg samskipti sjálfkrafa skotspónn fyrir fyrirtæki eins og ísraelska fyrirtækið og önnur fyrirtæki sem leita að öryggisveikleikum í hugbúnaði, enda talsverðir peningar í spilunum finnist öryggisgalli sem óprúttnir aðilar séu tilbúnir að greiða fyrir að nýta sér.„Þarna erum við að tala um það sem kallast „Zero Day.“ Það er veikleiki sem enginn annar veit af, þess vegna hefur hann virði fyrir þá sem vilja nota þetta sem vopn. Þetta er eins og flugvél sem þú getur ekki séð á radar. Strax og einhver veit af veikleika í WhatsApp er þetta einskis virði.“ segir Theódór sem telur að öryggisveikleiki í WhatsApp gangi kaupum og sölum fyrir um 500 þúsund til tvær milljónir dollara, um 60 til 240 milljónir króna.WhatsApp segist hafa komist fyrir veikleikann með uppfærsluog eru allir notendur WhatsApp hvattir til þess að uppfæra í nýjustu útgáfu forritsins.Aðspurður um hvort líklegt sé að einhverjir Íslendingar hafi orðið á barðinu fyrir árás af þessu tagi segir Theódór að ekki sé hægt að útiloka slíkt.„Það kæmi mér ekki á óvart ef einhverjir íslenskir aðilar hafi lent í þessu. Þeir þurfa þó að vera þannig að það sé eitthvað eftirsóknarvert hjá þeim út af einhverri ástæðu,“ segir Theódór.WhatsApp er í eigu Facebook. Thedór segir erfitt að kenna Facebook um öryggisveikleikann. Einbeittur brotavilji hafi ráðuð för hér.Getty/ChesnotVera vakandi fyrir símtölum frá óþekktum númerum Ekki er hlaupið að því að komast að því hvort tiltekið tæki hafi orðið fyrir barðinu á árás vegna veikleikans en alltaf eru þó einhver ummerki um slíkt sem þurfi að greina með rannsókn tölvusérfræðinga. Eins og áður segir þurfti bara að hringja í tækið í gegnum WhatsApp til þessa að nýta veikleikann og segir Theódór að því sé gott að vera vakandi fyrir hringingum frá símanúmerum sem fólk kannist ekkert við.„Það eru fyrstu ummerkin. Það eru ummerkin sem venjulegt fólk getur séð. En til þess að komast ofan í kjölinn á þessu þarftu að hafa búnað til þess eða tæki eða tól,“ segir Theódór.Almenningur þurfi þó líklega ekki að óttast það að verða fyrir barðinu á árás en gott sé að hafa í huga að möguleikinn sé fyrir hendi.„En fyrir venjulegt fólk og okkur almenning skiptir þetta ekki það miklu máli fyrir utan það að vera meðvituð um hvað er hægt. Að vita það að það er alveg sama hvaða ráðstafanir þú gerir, ef þú ert að reyna að verja samskipti þín, þá áttu ekki séns gagnvart þessum leyniþjónustum. Það er gott að vita það að ef þú ert fréttamaður eða að reyna að vinna í einhverjum viðkvæmum hlutum.“
Facebook Tækni Tölvuárásir Tengdar fréttir Facebook leggur aukna áherslu á dulkóðun Í langri blogfærslu sem Mark Zuckerberg, stofnandi og forstjóri Facebook, birti í gær segir hann að forsvarsmenn fyrirtækisins vilji standa vörð um friðhelgi einkalífsins. 7. mars 2019 10:01 Alvarlegur öryggisveikleiki í Whatsapp Persónuvernd hefur borist tilkynning frá persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. 14. maí 2019 16:23 Mest lesið Setti ofan í við Ingu: „Vert þú ekki með þennan skæting við mig“ Innlent Sádar sagðir hafa sent fjórar viðvaranir Erlent Skutu niður eigin herþotu yfir Rauðahafi Erlent „Ég fæ ekki séð hvaða rugl þetta er“ Innlent „Þú veist að ég er sú sem að passar best hérna inn“ Innlent Segir Helga Magnús óhæfan til að gegna embættinu Innlent Fyrsti læknirinn í heilbrigðisráðuneytinu Innlent „Kurr í greininni í dag um að þetta skuli hvort tveggja vera á matseðlinum“ Innlent „Ég veit að þér mun sömuleiðis líða vel hér“ Innlent Yfirgaf jólatónleika í sjúkrabíl Innlent Fleiri fréttir Nýr flugvöllur opnar nýjar dyr fyrir Suður-Grænland Tvö tröllvaxin mál og sækja eigi tekjurnar í fiskinn „Heimsins furðulegasti fiskur“ afhentur í fjármálaráðuneytinu Kirkjutröppurnar opnaðar að nýju og hiti í hverju þrepi Setti ofan í við Ingu: „Vert þú ekki með þennan skæting við mig“ Umferðartafir vegna bílveltu á Mýrum Lyklaskipti og afmæli elsta Íslendingsins Segir Helga Magnús óhæfan til að gegna embættinu „Þannig að jólin komu snemma hjá mér“ „Ég fæ ekki séð hvaða rugl þetta er“ Fyrsti læknirinn í heilbrigðisráðuneytinu Það bráðvantar börn á leikskólann á Hvanneyri „Þú veist að ég er sú sem að passar best hérna inn“ „Ein allra besta jólagjöfin“ „Ég veit að þér mun sömuleiðis líða vel hér“ Skortur á sjúkragæslu á viðburðum hafi áhrif á neyðarþjónustu Eftirliti á viðburðum ábótavant og skynsemi í orkumálum Vegir víða hálir á morgun og blint á fjallvegum Stjórnarleiðtogar sitja fyrir svörum á Sprengisandi „Afskaplega róleg“ nótt hjá lögreglumönnum Þakklæti, auðmýkt, rok og söngur ríkisstjórnarinnar „Kurr í greininni í dag um að þetta skuli hvort tveggja vera á matseðlinum“ Breytingar á ráðuneytum taka ekki gildi fyrr en í mars Mest skreytta jólahúsið í Hveragerði Yfirgaf jólatónleika í sjúkrabíl Ný ríkisstjórn Íslands: „Við erum orðnar vinkonur“ Allt um nýja ríkisstjórn Íslands í kvöldfréttum Krónan muni veikjast og allir halda að sér höndum Þjóðaratkvæðagreiðsla um ESB eigi síðar en 2027 „Mjög þunn súpa, lítið í henni“ Sjá meira
Facebook leggur aukna áherslu á dulkóðun Í langri blogfærslu sem Mark Zuckerberg, stofnandi og forstjóri Facebook, birti í gær segir hann að forsvarsmenn fyrirtækisins vilji standa vörð um friðhelgi einkalífsins. 7. mars 2019 10:01
Alvarlegur öryggisveikleiki í Whatsapp Persónuvernd hefur borist tilkynning frá persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. 14. maí 2019 16:23