Öryggisveikleikinn í WhatsApp nýttur til nútímalegrar vopnaframleiðslu Tryggvi Páll Tryggvason skrifar 15. maí 2019 14:15 WhatsApp er gríðarlega vinsælt samskiptaforrit en hefur ef til vill ekki notið jafn mikilla vinsælda á Íslandi og víðar í heiminum. vísir/Getty Alvarlegi öryggisveikleikinn sem uppgötvast hefur í WhatsApp-samskiptaforritinu var notaður til þess að búa til vopn svo njósna mætti um notendur forritsins. Sérfræðingur í tölvuöryggi segir að um sé að ræða nútímalega vopnaframleiðslu sem sé helst nýtt af leyniþjónustum eða sambærilegum ríkisstofnunum. Hann segir ólíklegt að almenningur þurfi að óttast að verða fyrir árás vegna veikleikans en mikilvægt sé að hafa í huga að möguleikinn sé fyrir hendi.Persónuvernd hefur borist tilkynning frá Persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. Öryggisveikleikinn getur gert utanaðkomandi aðilum kleift að setja inn ósamþykktan hugbúnað og fá aðgang að persónulegum gögnum þeirra sem hafa sett upp WhatsApp-forritið í snjallsímanum sínum.Í samtali við Vísi segir Theódór R. Gíslason, tæknistjóri tölvuöryggisfyrirtækisins Syndis að allir notendur WhatsApp hafi verið berskjaldaðir fyrir veikleikanum. Þeir sem hafi hagt hug á að nýta sér hann hafi aðeins þurft að hringja í þann sem árásin ætti að beinast gegn.„Þegar þú ert í WhatsApp þá geturðu leitað að símanúmeri og athugað hvort manneskjan sé skráð á WhatsApp. Þú getur getur hringt í það til dæmis en manneskjan þarf ekki einu sinni að svara. Þarna ertu með hugbúnað á símanum þínum sem er að taka við fyrirspurnum frá hverjum sem er. Það eina sem þú þarft að vita er símanúmerið hjá fólki sem er með WhatsApp sett upp á símanum sínum,“ segir Theódór.Þannig hafi verið hægt að nýta sér veikleikann til þess að komast í alla skilaboðasöguna sem er geymd í WhatsApp-appinu og hlusta og hlera símtöl. Theodór Ragnar Gíslason,tæknistjóri hjá Syndis.Mynd/Stöð 2„Þetta er ógeðslegur bransi“ Ítarlega hefur verið fjallað um veikleikann á vef Guardian þar sem meðal annars var rætt við lögfræðing sem telur sig hafa orðið fyrir barðinu á árás í gegnum þennan veikleika í WhatsApp. Lögfræðingurinn vinnur nú að máli sem höfðað hefur verið gegn ísraelska öryggisfyrirtækinu NSO Group sem talið er að hafa þróað vopnið sem notað er til að nýta sér þennan veikleika í WhatsApp. „Þeir starfa við það að kaupa og selja veikleika, vopnavæða veikleikana og búa til vopn. Þetta vopn er svo hægt að nota á undirförulan máta til þess að brjótast inn í síma hjá öllum sem voru að keyra WhatsApp,“ segir Theódór um ísraelska fyrirtækið. Amnesty International og fimmtíu önnur samtök hafa kallað eftir því að ísraelsk yfirvöld meini fyrirtækinu að flytja út vörur þar sem tæknilausnir fyrirtækisins séu notaðar til þess að njósna um blaðamenn og aðra sem höndla með viðkvæmar upplýsingar sem gætu komið sér illa fyrir valdamikla aðila. Glöggt má heyra á Theódóri að hann virðist ekki vera hrifinn af starfsemi fyrirtækisins né sambærilegra fyrirtækja. „Þú þarft virkilega að sérsmíða vopn til þess að geta nýtt þetta almennilega og það er ekkert grín. Svo gera þeir það og vopnavæða svona „exploita“ til þess að misnota þennan tiltekna veikleika. Við vitum að þeir hafa selt til Sádí-Arabíu og við vitum að þeir hafi selt til annarra landa. Svo nota þessar ríkisstjórnir þetta vopn frá þessu ísraelska fyrirtæki til þess að brjótast inn í síma hjá fréttamönnum, hjá fólki sem það vill njósna um og svo framvegis til þess að fá upplýsingar og líka til þess að drepa. Þetta er ógeðslegur bransi og ekkert annað en nútímavopnaframleiðsla,“ segir Theódór.Öryggisveikleikar ganga kaupum og sölum.Vísir/GettyUpplýsingar um veikleika seljast fyrir háar fjárhæðir Upplýsingar um öryggisveikleika ganga kaupum og sölum og fer verðlagning þeirra eftir ýmsu. Viti fáir um öryggisveikleikann er hann þeim mun verðmætari. Þá séu öll samskiptaforrit, líka þau sem gefa sig út fyrir að bjóða upp á örugg samskipti sjálfkrafa skotspónn fyrir fyrirtæki eins og ísraelska fyrirtækið og önnur fyrirtæki sem leita að öryggisveikleikum í hugbúnaði, enda talsverðir peningar í spilunum finnist öryggisgalli sem óprúttnir aðilar séu tilbúnir að greiða fyrir að nýta sér.„Þarna erum við að tala um það sem kallast „Zero Day.“ Það er veikleiki sem enginn annar veit af, þess vegna hefur hann virði fyrir þá sem vilja nota þetta sem vopn. Þetta er eins og flugvél sem þú getur ekki séð á radar. Strax og einhver veit af veikleika í WhatsApp er þetta einskis virði.“ segir Theódór sem telur að öryggisveikleiki í WhatsApp gangi kaupum og sölum fyrir um 500 þúsund til tvær milljónir dollara, um 60 til 240 milljónir króna.WhatsApp segist hafa komist fyrir veikleikann með uppfærsluog eru allir notendur WhatsApp hvattir til þess að uppfæra í nýjustu útgáfu forritsins.Aðspurður um hvort líklegt sé að einhverjir Íslendingar hafi orðið á barðinu fyrir árás af þessu tagi segir Theódór að ekki sé hægt að útiloka slíkt.„Það kæmi mér ekki á óvart ef einhverjir íslenskir aðilar hafi lent í þessu. Þeir þurfa þó að vera þannig að það sé eitthvað eftirsóknarvert hjá þeim út af einhverri ástæðu,“ segir Theódór.WhatsApp er í eigu Facebook. Thedór segir erfitt að kenna Facebook um öryggisveikleikann. Einbeittur brotavilji hafi ráðuð för hér.Getty/ChesnotVera vakandi fyrir símtölum frá óþekktum númerum Ekki er hlaupið að því að komast að því hvort tiltekið tæki hafi orðið fyrir barðinu á árás vegna veikleikans en alltaf eru þó einhver ummerki um slíkt sem þurfi að greina með rannsókn tölvusérfræðinga. Eins og áður segir þurfti bara að hringja í tækið í gegnum WhatsApp til þessa að nýta veikleikann og segir Theódór að því sé gott að vera vakandi fyrir hringingum frá símanúmerum sem fólk kannist ekkert við.„Það eru fyrstu ummerkin. Það eru ummerkin sem venjulegt fólk getur séð. En til þess að komast ofan í kjölinn á þessu þarftu að hafa búnað til þess eða tæki eða tól,“ segir Theódór.Almenningur þurfi þó líklega ekki að óttast það að verða fyrir barðinu á árás en gott sé að hafa í huga að möguleikinn sé fyrir hendi.„En fyrir venjulegt fólk og okkur almenning skiptir þetta ekki það miklu máli fyrir utan það að vera meðvituð um hvað er hægt. Að vita það að það er alveg sama hvaða ráðstafanir þú gerir, ef þú ert að reyna að verja samskipti þín, þá áttu ekki séns gagnvart þessum leyniþjónustum. Það er gott að vita það að ef þú ert fréttamaður eða að reyna að vinna í einhverjum viðkvæmum hlutum.“ Facebook Tækni Tölvuárásir Tengdar fréttir Facebook leggur aukna áherslu á dulkóðun Í langri blogfærslu sem Mark Zuckerberg, stofnandi og forstjóri Facebook, birti í gær segir hann að forsvarsmenn fyrirtækisins vilji standa vörð um friðhelgi einkalífsins. 7. mars 2019 10:01 Alvarlegur öryggisveikleiki í Whatsapp Persónuvernd hefur borist tilkynning frá persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. 14. maí 2019 16:23 Mest lesið Kostaði umdeilda færslu á síðu flokks sem hann er hættur í Innlent Stuðningur við Trump kostaði sambandið við Elon Erlent Vill eyða vantrausti sem sé olía á eld rasisma Innlent Kortleggja neðanjarðarbyrgi vegna hótana Rússa Erlent „Girtu þig nú í brók og horfstu í augu við sjálfan þig“ Innlent Saksóknarar vilja Pelicot í 20 ára fangelsi Erlent Mega fresta kosningu í allt að viku verði óveður á laugardag Innlent Íslensk kona í haldi: Hótelherbergi á Tenerife þakið blóði Innlent Tvær á toppnum Innlent Virknin stöðug og bundin við nyrsta gíginn Innlent Fleiri fréttir Mega fresta kosningu í allt að viku verði óveður á laugardag Vill eyða vantrausti sem sé olía á eld rasisma Kölluð út vegna fiskibáts sem hafði misst vélarafl Leitaði á lögreglustöð með áverka eftir líkamsárás Virknin stöðug og bundin við nyrsta gíginn Kostaði umdeilda færslu á síðu flokks sem hann er hættur í Flugvélar og fólk skautuðu á Hafravatni Tvær á toppnum Gasmengun helsta hættan í Grindavík „Það má Guð vita“ Bælin tóm og Diegos sárt saknað: „Hann er einn af okkur“ „Girtu þig nú í brók og horfstu í augu við sjálfan þig“ Bjartsýni í Karphúsinu og kattarins Díegó leitað Lofa fullum trúnaði ef Diego verður skilað Leitaði trúnaðarupplýsinga til að staðfesta orðróm en fékk sparkið Ákærður fyrir stunguárásina á Menningarnótt Dómsmál setur áform Heidelberg í uppnám Enn talsverður kraftur í eldgosinu Bitist af mikilli hörku um atkvæði íbúa í Ölfusi Breytinga að vænta á fylgi Flokks fólksins Krapastífla hefur myndast í Ölfusá við Selfoss Hjúkrunarfræðingar samþykktu samning Sást á öryggismyndavélum þegar Diego var numinn á brott Lögreglumenn furðuðu sig á vígahnetti Kjörin í stjórn Evrópska ungmennavettvangsins Jane Goodall hvetur stjórnvöld til að beita sér gegn hvalveiðum Opna Grindavík á ný Sérfræðingar rýna í stöðuna á lokasprettinum Ráðgjafar- og greiningarstöð fjársvelt meðan ásókn í þjónustu eykst Töluverðar líkur á leiðindaveðri á kjördag Sjá meira
Alvarlegi öryggisveikleikinn sem uppgötvast hefur í WhatsApp-samskiptaforritinu var notaður til þess að búa til vopn svo njósna mætti um notendur forritsins. Sérfræðingur í tölvuöryggi segir að um sé að ræða nútímalega vopnaframleiðslu sem sé helst nýtt af leyniþjónustum eða sambærilegum ríkisstofnunum. Hann segir ólíklegt að almenningur þurfi að óttast að verða fyrir árás vegna veikleikans en mikilvægt sé að hafa í huga að möguleikinn sé fyrir hendi.Persónuvernd hefur borist tilkynning frá Persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. Öryggisveikleikinn getur gert utanaðkomandi aðilum kleift að setja inn ósamþykktan hugbúnað og fá aðgang að persónulegum gögnum þeirra sem hafa sett upp WhatsApp-forritið í snjallsímanum sínum.Í samtali við Vísi segir Theódór R. Gíslason, tæknistjóri tölvuöryggisfyrirtækisins Syndis að allir notendur WhatsApp hafi verið berskjaldaðir fyrir veikleikanum. Þeir sem hafi hagt hug á að nýta sér hann hafi aðeins þurft að hringja í þann sem árásin ætti að beinast gegn.„Þegar þú ert í WhatsApp þá geturðu leitað að símanúmeri og athugað hvort manneskjan sé skráð á WhatsApp. Þú getur getur hringt í það til dæmis en manneskjan þarf ekki einu sinni að svara. Þarna ertu með hugbúnað á símanum þínum sem er að taka við fyrirspurnum frá hverjum sem er. Það eina sem þú þarft að vita er símanúmerið hjá fólki sem er með WhatsApp sett upp á símanum sínum,“ segir Theódór.Þannig hafi verið hægt að nýta sér veikleikann til þess að komast í alla skilaboðasöguna sem er geymd í WhatsApp-appinu og hlusta og hlera símtöl. Theodór Ragnar Gíslason,tæknistjóri hjá Syndis.Mynd/Stöð 2„Þetta er ógeðslegur bransi“ Ítarlega hefur verið fjallað um veikleikann á vef Guardian þar sem meðal annars var rætt við lögfræðing sem telur sig hafa orðið fyrir barðinu á árás í gegnum þennan veikleika í WhatsApp. Lögfræðingurinn vinnur nú að máli sem höfðað hefur verið gegn ísraelska öryggisfyrirtækinu NSO Group sem talið er að hafa þróað vopnið sem notað er til að nýta sér þennan veikleika í WhatsApp. „Þeir starfa við það að kaupa og selja veikleika, vopnavæða veikleikana og búa til vopn. Þetta vopn er svo hægt að nota á undirförulan máta til þess að brjótast inn í síma hjá öllum sem voru að keyra WhatsApp,“ segir Theódór um ísraelska fyrirtækið. Amnesty International og fimmtíu önnur samtök hafa kallað eftir því að ísraelsk yfirvöld meini fyrirtækinu að flytja út vörur þar sem tæknilausnir fyrirtækisins séu notaðar til þess að njósna um blaðamenn og aðra sem höndla með viðkvæmar upplýsingar sem gætu komið sér illa fyrir valdamikla aðila. Glöggt má heyra á Theódóri að hann virðist ekki vera hrifinn af starfsemi fyrirtækisins né sambærilegra fyrirtækja. „Þú þarft virkilega að sérsmíða vopn til þess að geta nýtt þetta almennilega og það er ekkert grín. Svo gera þeir það og vopnavæða svona „exploita“ til þess að misnota þennan tiltekna veikleika. Við vitum að þeir hafa selt til Sádí-Arabíu og við vitum að þeir hafi selt til annarra landa. Svo nota þessar ríkisstjórnir þetta vopn frá þessu ísraelska fyrirtæki til þess að brjótast inn í síma hjá fréttamönnum, hjá fólki sem það vill njósna um og svo framvegis til þess að fá upplýsingar og líka til þess að drepa. Þetta er ógeðslegur bransi og ekkert annað en nútímavopnaframleiðsla,“ segir Theódór.Öryggisveikleikar ganga kaupum og sölum.Vísir/GettyUpplýsingar um veikleika seljast fyrir háar fjárhæðir Upplýsingar um öryggisveikleika ganga kaupum og sölum og fer verðlagning þeirra eftir ýmsu. Viti fáir um öryggisveikleikann er hann þeim mun verðmætari. Þá séu öll samskiptaforrit, líka þau sem gefa sig út fyrir að bjóða upp á örugg samskipti sjálfkrafa skotspónn fyrir fyrirtæki eins og ísraelska fyrirtækið og önnur fyrirtæki sem leita að öryggisveikleikum í hugbúnaði, enda talsverðir peningar í spilunum finnist öryggisgalli sem óprúttnir aðilar séu tilbúnir að greiða fyrir að nýta sér.„Þarna erum við að tala um það sem kallast „Zero Day.“ Það er veikleiki sem enginn annar veit af, þess vegna hefur hann virði fyrir þá sem vilja nota þetta sem vopn. Þetta er eins og flugvél sem þú getur ekki séð á radar. Strax og einhver veit af veikleika í WhatsApp er þetta einskis virði.“ segir Theódór sem telur að öryggisveikleiki í WhatsApp gangi kaupum og sölum fyrir um 500 þúsund til tvær milljónir dollara, um 60 til 240 milljónir króna.WhatsApp segist hafa komist fyrir veikleikann með uppfærsluog eru allir notendur WhatsApp hvattir til þess að uppfæra í nýjustu útgáfu forritsins.Aðspurður um hvort líklegt sé að einhverjir Íslendingar hafi orðið á barðinu fyrir árás af þessu tagi segir Theódór að ekki sé hægt að útiloka slíkt.„Það kæmi mér ekki á óvart ef einhverjir íslenskir aðilar hafi lent í þessu. Þeir þurfa þó að vera þannig að það sé eitthvað eftirsóknarvert hjá þeim út af einhverri ástæðu,“ segir Theódór.WhatsApp er í eigu Facebook. Thedór segir erfitt að kenna Facebook um öryggisveikleikann. Einbeittur brotavilji hafi ráðuð för hér.Getty/ChesnotVera vakandi fyrir símtölum frá óþekktum númerum Ekki er hlaupið að því að komast að því hvort tiltekið tæki hafi orðið fyrir barðinu á árás vegna veikleikans en alltaf eru þó einhver ummerki um slíkt sem þurfi að greina með rannsókn tölvusérfræðinga. Eins og áður segir þurfti bara að hringja í tækið í gegnum WhatsApp til þessa að nýta veikleikann og segir Theódór að því sé gott að vera vakandi fyrir hringingum frá símanúmerum sem fólk kannist ekkert við.„Það eru fyrstu ummerkin. Það eru ummerkin sem venjulegt fólk getur séð. En til þess að komast ofan í kjölinn á þessu þarftu að hafa búnað til þess eða tæki eða tól,“ segir Theódór.Almenningur þurfi þó líklega ekki að óttast það að verða fyrir barðinu á árás en gott sé að hafa í huga að möguleikinn sé fyrir hendi.„En fyrir venjulegt fólk og okkur almenning skiptir þetta ekki það miklu máli fyrir utan það að vera meðvituð um hvað er hægt. Að vita það að það er alveg sama hvaða ráðstafanir þú gerir, ef þú ert að reyna að verja samskipti þín, þá áttu ekki séns gagnvart þessum leyniþjónustum. Það er gott að vita það að ef þú ert fréttamaður eða að reyna að vinna í einhverjum viðkvæmum hlutum.“
Facebook Tækni Tölvuárásir Tengdar fréttir Facebook leggur aukna áherslu á dulkóðun Í langri blogfærslu sem Mark Zuckerberg, stofnandi og forstjóri Facebook, birti í gær segir hann að forsvarsmenn fyrirtækisins vilji standa vörð um friðhelgi einkalífsins. 7. mars 2019 10:01 Alvarlegur öryggisveikleiki í Whatsapp Persónuvernd hefur borist tilkynning frá persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. 14. maí 2019 16:23 Mest lesið Kostaði umdeilda færslu á síðu flokks sem hann er hættur í Innlent Stuðningur við Trump kostaði sambandið við Elon Erlent Vill eyða vantrausti sem sé olía á eld rasisma Innlent Kortleggja neðanjarðarbyrgi vegna hótana Rússa Erlent „Girtu þig nú í brók og horfstu í augu við sjálfan þig“ Innlent Saksóknarar vilja Pelicot í 20 ára fangelsi Erlent Mega fresta kosningu í allt að viku verði óveður á laugardag Innlent Íslensk kona í haldi: Hótelherbergi á Tenerife þakið blóði Innlent Tvær á toppnum Innlent Virknin stöðug og bundin við nyrsta gíginn Innlent Fleiri fréttir Mega fresta kosningu í allt að viku verði óveður á laugardag Vill eyða vantrausti sem sé olía á eld rasisma Kölluð út vegna fiskibáts sem hafði misst vélarafl Leitaði á lögreglustöð með áverka eftir líkamsárás Virknin stöðug og bundin við nyrsta gíginn Kostaði umdeilda færslu á síðu flokks sem hann er hættur í Flugvélar og fólk skautuðu á Hafravatni Tvær á toppnum Gasmengun helsta hættan í Grindavík „Það má Guð vita“ Bælin tóm og Diegos sárt saknað: „Hann er einn af okkur“ „Girtu þig nú í brók og horfstu í augu við sjálfan þig“ Bjartsýni í Karphúsinu og kattarins Díegó leitað Lofa fullum trúnaði ef Diego verður skilað Leitaði trúnaðarupplýsinga til að staðfesta orðróm en fékk sparkið Ákærður fyrir stunguárásina á Menningarnótt Dómsmál setur áform Heidelberg í uppnám Enn talsverður kraftur í eldgosinu Bitist af mikilli hörku um atkvæði íbúa í Ölfusi Breytinga að vænta á fylgi Flokks fólksins Krapastífla hefur myndast í Ölfusá við Selfoss Hjúkrunarfræðingar samþykktu samning Sást á öryggismyndavélum þegar Diego var numinn á brott Lögreglumenn furðuðu sig á vígahnetti Kjörin í stjórn Evrópska ungmennavettvangsins Jane Goodall hvetur stjórnvöld til að beita sér gegn hvalveiðum Opna Grindavík á ný Sérfræðingar rýna í stöðuna á lokasprettinum Ráðgjafar- og greiningarstöð fjársvelt meðan ásókn í þjónustu eykst Töluverðar líkur á leiðindaveðri á kjördag Sjá meira
Facebook leggur aukna áherslu á dulkóðun Í langri blogfærslu sem Mark Zuckerberg, stofnandi og forstjóri Facebook, birti í gær segir hann að forsvarsmenn fyrirtækisins vilji standa vörð um friðhelgi einkalífsins. 7. mars 2019 10:01
Alvarlegur öryggisveikleiki í Whatsapp Persónuvernd hefur borist tilkynning frá persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. 14. maí 2019 16:23