Öryggisveikleikinn í WhatsApp nýttur til nútímalegrar vopnaframleiðslu Tryggvi Páll Tryggvason skrifar 15. maí 2019 14:15 WhatsApp er gríðarlega vinsælt samskiptaforrit en hefur ef til vill ekki notið jafn mikilla vinsælda á Íslandi og víðar í heiminum. vísir/Getty Alvarlegi öryggisveikleikinn sem uppgötvast hefur í WhatsApp-samskiptaforritinu var notaður til þess að búa til vopn svo njósna mætti um notendur forritsins. Sérfræðingur í tölvuöryggi segir að um sé að ræða nútímalega vopnaframleiðslu sem sé helst nýtt af leyniþjónustum eða sambærilegum ríkisstofnunum. Hann segir ólíklegt að almenningur þurfi að óttast að verða fyrir árás vegna veikleikans en mikilvægt sé að hafa í huga að möguleikinn sé fyrir hendi.Persónuvernd hefur borist tilkynning frá Persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. Öryggisveikleikinn getur gert utanaðkomandi aðilum kleift að setja inn ósamþykktan hugbúnað og fá aðgang að persónulegum gögnum þeirra sem hafa sett upp WhatsApp-forritið í snjallsímanum sínum.Í samtali við Vísi segir Theódór R. Gíslason, tæknistjóri tölvuöryggisfyrirtækisins Syndis að allir notendur WhatsApp hafi verið berskjaldaðir fyrir veikleikanum. Þeir sem hafi hagt hug á að nýta sér hann hafi aðeins þurft að hringja í þann sem árásin ætti að beinast gegn.„Þegar þú ert í WhatsApp þá geturðu leitað að símanúmeri og athugað hvort manneskjan sé skráð á WhatsApp. Þú getur getur hringt í það til dæmis en manneskjan þarf ekki einu sinni að svara. Þarna ertu með hugbúnað á símanum þínum sem er að taka við fyrirspurnum frá hverjum sem er. Það eina sem þú þarft að vita er símanúmerið hjá fólki sem er með WhatsApp sett upp á símanum sínum,“ segir Theódór.Þannig hafi verið hægt að nýta sér veikleikann til þess að komast í alla skilaboðasöguna sem er geymd í WhatsApp-appinu og hlusta og hlera símtöl. Theodór Ragnar Gíslason,tæknistjóri hjá Syndis.Mynd/Stöð 2„Þetta er ógeðslegur bransi“ Ítarlega hefur verið fjallað um veikleikann á vef Guardian þar sem meðal annars var rætt við lögfræðing sem telur sig hafa orðið fyrir barðinu á árás í gegnum þennan veikleika í WhatsApp. Lögfræðingurinn vinnur nú að máli sem höfðað hefur verið gegn ísraelska öryggisfyrirtækinu NSO Group sem talið er að hafa þróað vopnið sem notað er til að nýta sér þennan veikleika í WhatsApp. „Þeir starfa við það að kaupa og selja veikleika, vopnavæða veikleikana og búa til vopn. Þetta vopn er svo hægt að nota á undirförulan máta til þess að brjótast inn í síma hjá öllum sem voru að keyra WhatsApp,“ segir Theódór um ísraelska fyrirtækið. Amnesty International og fimmtíu önnur samtök hafa kallað eftir því að ísraelsk yfirvöld meini fyrirtækinu að flytja út vörur þar sem tæknilausnir fyrirtækisins séu notaðar til þess að njósna um blaðamenn og aðra sem höndla með viðkvæmar upplýsingar sem gætu komið sér illa fyrir valdamikla aðila. Glöggt má heyra á Theódóri að hann virðist ekki vera hrifinn af starfsemi fyrirtækisins né sambærilegra fyrirtækja. „Þú þarft virkilega að sérsmíða vopn til þess að geta nýtt þetta almennilega og það er ekkert grín. Svo gera þeir það og vopnavæða svona „exploita“ til þess að misnota þennan tiltekna veikleika. Við vitum að þeir hafa selt til Sádí-Arabíu og við vitum að þeir hafi selt til annarra landa. Svo nota þessar ríkisstjórnir þetta vopn frá þessu ísraelska fyrirtæki til þess að brjótast inn í síma hjá fréttamönnum, hjá fólki sem það vill njósna um og svo framvegis til þess að fá upplýsingar og líka til þess að drepa. Þetta er ógeðslegur bransi og ekkert annað en nútímavopnaframleiðsla,“ segir Theódór.Öryggisveikleikar ganga kaupum og sölum.Vísir/GettyUpplýsingar um veikleika seljast fyrir háar fjárhæðir Upplýsingar um öryggisveikleika ganga kaupum og sölum og fer verðlagning þeirra eftir ýmsu. Viti fáir um öryggisveikleikann er hann þeim mun verðmætari. Þá séu öll samskiptaforrit, líka þau sem gefa sig út fyrir að bjóða upp á örugg samskipti sjálfkrafa skotspónn fyrir fyrirtæki eins og ísraelska fyrirtækið og önnur fyrirtæki sem leita að öryggisveikleikum í hugbúnaði, enda talsverðir peningar í spilunum finnist öryggisgalli sem óprúttnir aðilar séu tilbúnir að greiða fyrir að nýta sér.„Þarna erum við að tala um það sem kallast „Zero Day.“ Það er veikleiki sem enginn annar veit af, þess vegna hefur hann virði fyrir þá sem vilja nota þetta sem vopn. Þetta er eins og flugvél sem þú getur ekki séð á radar. Strax og einhver veit af veikleika í WhatsApp er þetta einskis virði.“ segir Theódór sem telur að öryggisveikleiki í WhatsApp gangi kaupum og sölum fyrir um 500 þúsund til tvær milljónir dollara, um 60 til 240 milljónir króna.WhatsApp segist hafa komist fyrir veikleikann með uppfærsluog eru allir notendur WhatsApp hvattir til þess að uppfæra í nýjustu útgáfu forritsins.Aðspurður um hvort líklegt sé að einhverjir Íslendingar hafi orðið á barðinu fyrir árás af þessu tagi segir Theódór að ekki sé hægt að útiloka slíkt.„Það kæmi mér ekki á óvart ef einhverjir íslenskir aðilar hafi lent í þessu. Þeir þurfa þó að vera þannig að það sé eitthvað eftirsóknarvert hjá þeim út af einhverri ástæðu,“ segir Theódór.WhatsApp er í eigu Facebook. Thedór segir erfitt að kenna Facebook um öryggisveikleikann. Einbeittur brotavilji hafi ráðuð för hér.Getty/ChesnotVera vakandi fyrir símtölum frá óþekktum númerum Ekki er hlaupið að því að komast að því hvort tiltekið tæki hafi orðið fyrir barðinu á árás vegna veikleikans en alltaf eru þó einhver ummerki um slíkt sem þurfi að greina með rannsókn tölvusérfræðinga. Eins og áður segir þurfti bara að hringja í tækið í gegnum WhatsApp til þessa að nýta veikleikann og segir Theódór að því sé gott að vera vakandi fyrir hringingum frá símanúmerum sem fólk kannist ekkert við.„Það eru fyrstu ummerkin. Það eru ummerkin sem venjulegt fólk getur séð. En til þess að komast ofan í kjölinn á þessu þarftu að hafa búnað til þess eða tæki eða tól,“ segir Theódór.Almenningur þurfi þó líklega ekki að óttast það að verða fyrir barðinu á árás en gott sé að hafa í huga að möguleikinn sé fyrir hendi.„En fyrir venjulegt fólk og okkur almenning skiptir þetta ekki það miklu máli fyrir utan það að vera meðvituð um hvað er hægt. Að vita það að það er alveg sama hvaða ráðstafanir þú gerir, ef þú ert að reyna að verja samskipti þín, þá áttu ekki séns gagnvart þessum leyniþjónustum. Það er gott að vita það að ef þú ert fréttamaður eða að reyna að vinna í einhverjum viðkvæmum hlutum.“ Facebook Tækni Tölvuárásir Tengdar fréttir Facebook leggur aukna áherslu á dulkóðun Í langri blogfærslu sem Mark Zuckerberg, stofnandi og forstjóri Facebook, birti í gær segir hann að forsvarsmenn fyrirtækisins vilji standa vörð um friðhelgi einkalífsins. 7. mars 2019 10:01 Alvarlegur öryggisveikleiki í Whatsapp Persónuvernd hefur borist tilkynning frá persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. 14. maí 2019 16:23 Mest lesið „Þetta mál hélt fyrir mér vöku í tvo mánuði“ Innlent Fangi lést á Litla-Hrauni Innlent Lentu í dularfullum símatruflunum í Bratislava fyrir fimm árum Innlent Kosningavaktin: Íslendingar ganga að kjörborðinu Innlent Fólk dvelji ekki í herbergjum með glugga í átt að Eyrarfjalli Innlent Þurftu að búa í næstu götu við morðingja bróður síns Innlent „Þetta er auðvitað grafalvarlegt mál“ Innlent Dæmdur fyrir sérstaklega hættulega líkamsárás Innlent Forsætisráðherra segir málið hugarburð, Píratar vilja rannsókn Innlent „Hefði verið ágætt að fresta þessu veðri fram yfir áramót“ Innlent Fleiri fréttir „Þetta mál hélt fyrir mér vöku í tvo mánuði“ Fólk dvelji ekki í herbergjum með glugga í átt að Eyrarfjalli Lentu í dularfullum símatruflunum í Bratislava fyrir fimm árum Fangi lést á Litla-Hrauni Forsætisráðherra segir málið hugarburð, Píratar vilja rannsókn „Hefði verið ágætt að fresta þessu veðri fram yfir áramót“ „Þetta er auðvitað grafalvarlegt mál“ Fjöldahjálparstöðvar opnaðar vegna skriðuhættu Súðavíkurhlíð líka lokað og fjöldahjálparstöðvar reyndust óþarfar Jón muni ekki koma nálægt meðferð „hvalamálsins“ Stór aurskriða féll við Eyrarhlíð Þurftu að búa í næstu götu við morðingja bróður síns Vísbendingar um að andleg heilsa barna á Íslandi hafi batnað Móðirin ætlar að áfrýja „Sænska ástandið“ orðið að norrænu Segist ekki skulda dómsmálaráðherra skýringar Viðhorf til kvenna í leiðtogastörfum versnar Bein útsending: Kosningafundur Sambands íslenskra sveitarfélaga Kynna niðurstöður Íslensku æskulýðsrannsóknarinnar Tvö vilja í Endurupptökudóm Kvarta til umboðsmanns Alþingis vegna blóðmerahalds Dæmdur fyrir sérstaklega hættulega líkamsárás Ferðaðist frá Flateyri til Ísafjarðar til að fylla á vatnsflöskur Skriðuföll á Vestfjörðum og lokað fyrir vatnið á Flateyri Neysluvatnið í Bolungarvík drullugt og í ólagi Vildi drepa soninn svo hann kæmist til himna Loka fyrir vatnið á Flateyri eftir skriðu Opna sundlaugina í Grindavík á ný Þeim fækkar sem lesa og skrifa skilaboð við akstur Varað við vatnavöxtum og skriðuföllum: Vegir lokuðust á Vestfjörðum Sjá meira
Alvarlegi öryggisveikleikinn sem uppgötvast hefur í WhatsApp-samskiptaforritinu var notaður til þess að búa til vopn svo njósna mætti um notendur forritsins. Sérfræðingur í tölvuöryggi segir að um sé að ræða nútímalega vopnaframleiðslu sem sé helst nýtt af leyniþjónustum eða sambærilegum ríkisstofnunum. Hann segir ólíklegt að almenningur þurfi að óttast að verða fyrir árás vegna veikleikans en mikilvægt sé að hafa í huga að möguleikinn sé fyrir hendi.Persónuvernd hefur borist tilkynning frá Persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. Öryggisveikleikinn getur gert utanaðkomandi aðilum kleift að setja inn ósamþykktan hugbúnað og fá aðgang að persónulegum gögnum þeirra sem hafa sett upp WhatsApp-forritið í snjallsímanum sínum.Í samtali við Vísi segir Theódór R. Gíslason, tæknistjóri tölvuöryggisfyrirtækisins Syndis að allir notendur WhatsApp hafi verið berskjaldaðir fyrir veikleikanum. Þeir sem hafi hagt hug á að nýta sér hann hafi aðeins þurft að hringja í þann sem árásin ætti að beinast gegn.„Þegar þú ert í WhatsApp þá geturðu leitað að símanúmeri og athugað hvort manneskjan sé skráð á WhatsApp. Þú getur getur hringt í það til dæmis en manneskjan þarf ekki einu sinni að svara. Þarna ertu með hugbúnað á símanum þínum sem er að taka við fyrirspurnum frá hverjum sem er. Það eina sem þú þarft að vita er símanúmerið hjá fólki sem er með WhatsApp sett upp á símanum sínum,“ segir Theódór.Þannig hafi verið hægt að nýta sér veikleikann til þess að komast í alla skilaboðasöguna sem er geymd í WhatsApp-appinu og hlusta og hlera símtöl. Theodór Ragnar Gíslason,tæknistjóri hjá Syndis.Mynd/Stöð 2„Þetta er ógeðslegur bransi“ Ítarlega hefur verið fjallað um veikleikann á vef Guardian þar sem meðal annars var rætt við lögfræðing sem telur sig hafa orðið fyrir barðinu á árás í gegnum þennan veikleika í WhatsApp. Lögfræðingurinn vinnur nú að máli sem höfðað hefur verið gegn ísraelska öryggisfyrirtækinu NSO Group sem talið er að hafa þróað vopnið sem notað er til að nýta sér þennan veikleika í WhatsApp. „Þeir starfa við það að kaupa og selja veikleika, vopnavæða veikleikana og búa til vopn. Þetta vopn er svo hægt að nota á undirförulan máta til þess að brjótast inn í síma hjá öllum sem voru að keyra WhatsApp,“ segir Theódór um ísraelska fyrirtækið. Amnesty International og fimmtíu önnur samtök hafa kallað eftir því að ísraelsk yfirvöld meini fyrirtækinu að flytja út vörur þar sem tæknilausnir fyrirtækisins séu notaðar til þess að njósna um blaðamenn og aðra sem höndla með viðkvæmar upplýsingar sem gætu komið sér illa fyrir valdamikla aðila. Glöggt má heyra á Theódóri að hann virðist ekki vera hrifinn af starfsemi fyrirtækisins né sambærilegra fyrirtækja. „Þú þarft virkilega að sérsmíða vopn til þess að geta nýtt þetta almennilega og það er ekkert grín. Svo gera þeir það og vopnavæða svona „exploita“ til þess að misnota þennan tiltekna veikleika. Við vitum að þeir hafa selt til Sádí-Arabíu og við vitum að þeir hafi selt til annarra landa. Svo nota þessar ríkisstjórnir þetta vopn frá þessu ísraelska fyrirtæki til þess að brjótast inn í síma hjá fréttamönnum, hjá fólki sem það vill njósna um og svo framvegis til þess að fá upplýsingar og líka til þess að drepa. Þetta er ógeðslegur bransi og ekkert annað en nútímavopnaframleiðsla,“ segir Theódór.Öryggisveikleikar ganga kaupum og sölum.Vísir/GettyUpplýsingar um veikleika seljast fyrir háar fjárhæðir Upplýsingar um öryggisveikleika ganga kaupum og sölum og fer verðlagning þeirra eftir ýmsu. Viti fáir um öryggisveikleikann er hann þeim mun verðmætari. Þá séu öll samskiptaforrit, líka þau sem gefa sig út fyrir að bjóða upp á örugg samskipti sjálfkrafa skotspónn fyrir fyrirtæki eins og ísraelska fyrirtækið og önnur fyrirtæki sem leita að öryggisveikleikum í hugbúnaði, enda talsverðir peningar í spilunum finnist öryggisgalli sem óprúttnir aðilar séu tilbúnir að greiða fyrir að nýta sér.„Þarna erum við að tala um það sem kallast „Zero Day.“ Það er veikleiki sem enginn annar veit af, þess vegna hefur hann virði fyrir þá sem vilja nota þetta sem vopn. Þetta er eins og flugvél sem þú getur ekki séð á radar. Strax og einhver veit af veikleika í WhatsApp er þetta einskis virði.“ segir Theódór sem telur að öryggisveikleiki í WhatsApp gangi kaupum og sölum fyrir um 500 þúsund til tvær milljónir dollara, um 60 til 240 milljónir króna.WhatsApp segist hafa komist fyrir veikleikann með uppfærsluog eru allir notendur WhatsApp hvattir til þess að uppfæra í nýjustu útgáfu forritsins.Aðspurður um hvort líklegt sé að einhverjir Íslendingar hafi orðið á barðinu fyrir árás af þessu tagi segir Theódór að ekki sé hægt að útiloka slíkt.„Það kæmi mér ekki á óvart ef einhverjir íslenskir aðilar hafi lent í þessu. Þeir þurfa þó að vera þannig að það sé eitthvað eftirsóknarvert hjá þeim út af einhverri ástæðu,“ segir Theódór.WhatsApp er í eigu Facebook. Thedór segir erfitt að kenna Facebook um öryggisveikleikann. Einbeittur brotavilji hafi ráðuð för hér.Getty/ChesnotVera vakandi fyrir símtölum frá óþekktum númerum Ekki er hlaupið að því að komast að því hvort tiltekið tæki hafi orðið fyrir barðinu á árás vegna veikleikans en alltaf eru þó einhver ummerki um slíkt sem þurfi að greina með rannsókn tölvusérfræðinga. Eins og áður segir þurfti bara að hringja í tækið í gegnum WhatsApp til þessa að nýta veikleikann og segir Theódór að því sé gott að vera vakandi fyrir hringingum frá símanúmerum sem fólk kannist ekkert við.„Það eru fyrstu ummerkin. Það eru ummerkin sem venjulegt fólk getur séð. En til þess að komast ofan í kjölinn á þessu þarftu að hafa búnað til þess eða tæki eða tól,“ segir Theódór.Almenningur þurfi þó líklega ekki að óttast það að verða fyrir barðinu á árás en gott sé að hafa í huga að möguleikinn sé fyrir hendi.„En fyrir venjulegt fólk og okkur almenning skiptir þetta ekki það miklu máli fyrir utan það að vera meðvituð um hvað er hægt. Að vita það að það er alveg sama hvaða ráðstafanir þú gerir, ef þú ert að reyna að verja samskipti þín, þá áttu ekki séns gagnvart þessum leyniþjónustum. Það er gott að vita það að ef þú ert fréttamaður eða að reyna að vinna í einhverjum viðkvæmum hlutum.“
Facebook Tækni Tölvuárásir Tengdar fréttir Facebook leggur aukna áherslu á dulkóðun Í langri blogfærslu sem Mark Zuckerberg, stofnandi og forstjóri Facebook, birti í gær segir hann að forsvarsmenn fyrirtækisins vilji standa vörð um friðhelgi einkalífsins. 7. mars 2019 10:01 Alvarlegur öryggisveikleiki í Whatsapp Persónuvernd hefur borist tilkynning frá persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. 14. maí 2019 16:23 Mest lesið „Þetta mál hélt fyrir mér vöku í tvo mánuði“ Innlent Fangi lést á Litla-Hrauni Innlent Lentu í dularfullum símatruflunum í Bratislava fyrir fimm árum Innlent Kosningavaktin: Íslendingar ganga að kjörborðinu Innlent Fólk dvelji ekki í herbergjum með glugga í átt að Eyrarfjalli Innlent Þurftu að búa í næstu götu við morðingja bróður síns Innlent „Þetta er auðvitað grafalvarlegt mál“ Innlent Dæmdur fyrir sérstaklega hættulega líkamsárás Innlent Forsætisráðherra segir málið hugarburð, Píratar vilja rannsókn Innlent „Hefði verið ágætt að fresta þessu veðri fram yfir áramót“ Innlent Fleiri fréttir „Þetta mál hélt fyrir mér vöku í tvo mánuði“ Fólk dvelji ekki í herbergjum með glugga í átt að Eyrarfjalli Lentu í dularfullum símatruflunum í Bratislava fyrir fimm árum Fangi lést á Litla-Hrauni Forsætisráðherra segir málið hugarburð, Píratar vilja rannsókn „Hefði verið ágætt að fresta þessu veðri fram yfir áramót“ „Þetta er auðvitað grafalvarlegt mál“ Fjöldahjálparstöðvar opnaðar vegna skriðuhættu Súðavíkurhlíð líka lokað og fjöldahjálparstöðvar reyndust óþarfar Jón muni ekki koma nálægt meðferð „hvalamálsins“ Stór aurskriða féll við Eyrarhlíð Þurftu að búa í næstu götu við morðingja bróður síns Vísbendingar um að andleg heilsa barna á Íslandi hafi batnað Móðirin ætlar að áfrýja „Sænska ástandið“ orðið að norrænu Segist ekki skulda dómsmálaráðherra skýringar Viðhorf til kvenna í leiðtogastörfum versnar Bein útsending: Kosningafundur Sambands íslenskra sveitarfélaga Kynna niðurstöður Íslensku æskulýðsrannsóknarinnar Tvö vilja í Endurupptökudóm Kvarta til umboðsmanns Alþingis vegna blóðmerahalds Dæmdur fyrir sérstaklega hættulega líkamsárás Ferðaðist frá Flateyri til Ísafjarðar til að fylla á vatnsflöskur Skriðuföll á Vestfjörðum og lokað fyrir vatnið á Flateyri Neysluvatnið í Bolungarvík drullugt og í ólagi Vildi drepa soninn svo hann kæmist til himna Loka fyrir vatnið á Flateyri eftir skriðu Opna sundlaugina í Grindavík á ný Þeim fækkar sem lesa og skrifa skilaboð við akstur Varað við vatnavöxtum og skriðuföllum: Vegir lokuðust á Vestfjörðum Sjá meira
Facebook leggur aukna áherslu á dulkóðun Í langri blogfærslu sem Mark Zuckerberg, stofnandi og forstjóri Facebook, birti í gær segir hann að forsvarsmenn fyrirtækisins vilji standa vörð um friðhelgi einkalífsins. 7. mars 2019 10:01
Alvarlegur öryggisveikleiki í Whatsapp Persónuvernd hefur borist tilkynning frá persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. 14. maí 2019 16:23