Većina korisnika aplikacija kao što su WhatsApp i Telegram očekuju da će njihova komunikacija biti šifrirana i samim time strogo zaštićena, ali to ne znači da su sve vrste komunikacija koje se dijele putem tih aplikacija sigurne od upada. Symantec je danas objavio izvješće u kojem se navode ranjivosti ovih aplikacija na Androidu koje potencijalno mogu dopustiti zlonamjernim akterima da otmu zajedničke medijske datoteke i zamijene ih zloćudnim, prije nego što primatelji shvate što se događa.
Tako prema Symantecovom izvješću, ovo “uklanjanje medijskih datoteka” je moguće zbog načina na koji i WhatsApp i Telegram pohranjuju medijske datoteke koje se dijele putem aplikacije. Aplikacije za Android u konačnici imaju dvije opcije za pohranu datoteka i podataka: mogu ih pohraniti interno ili eksterno. Ako aplikacija za Android pohranjuje datoteke interno, tada su te datoteke dostupne samo aplikaciji, a ne drugim aplikacijama. S druge strane, datotekama koje su pohranjene eksterno, mogu pristupiti i druge aplikacije ili korisnici.
Symantec kaže da mnoge Android aplikacije pohranjuju podatke eksterno putem dopuštenja “Write-to-External” (vanjsko zapisivanje datoteka), otkrivajući da “gotovo 50% aplikacija ima tu dozvolu.” I WhatsApp i Telegram pohranjuju medijske datoteke eksterno, a Symantec je otkrio da zlonamjerni softver ima mogućnost zamijeniti te datoteke zlonamjernim datotekama.
Osim toga, Symantec također kaže da se napad može pokrenuti s pošiljatelja ili uređaja primatelja, pa čak i ako ste sigurni da na vašem uređaju nisu instalirane zlonamjerne aplikacije, to ne jamči zaštitu od ovakvog hakiranja. Tvrtka zatim detaljno opisuje načine na koje se korisnici ovih aplikacija mogu zaštititi od zlonamjernih napada koji iskorištavaju činjenicu da su mediji često pohranjeni u javnim direktorijima, bilo da se radi o potvrđivanju integriteta datoteka prije nego što se učitaju u aplikaciju ili jednostavno upotrebom interne pohrane za medije.
Korisnici to mogu spriječiti na sljedeći način: WhatsApp – idite u Postavke, zatim Chat i isključite “Vidljivost medija”. U Telegramu je postupak vrlo sličan, idete u Postavke, zatim Postavke chata i isključite “Spremi u Galeriju”.
Cijelo izvješće Symanteca pokazuje da čak i aplikacije koje se hvale svojim sigurnosnim značajkama još uvijek mogu imati nedostatke i propuste, a Symantec nas podsjeća da “nijedan kod nije imun na sigurnosne propuste.”
Piše: D.I.
