Öryggisveikleikinn í WhatsApp nýttur til nútímalegrar vopnaframleiðslu Tryggvi Páll Tryggvason skrifar 15. maí 2019 14:15 WhatsApp er gríðarlega vinsælt samskiptaforrit en hefur ef til vill ekki notið jafn mikilla vinsælda á Íslandi og víðar í heiminum. vísir/Getty Alvarlegi öryggisveikleikinn sem uppgötvast hefur í WhatsApp-samskiptaforritinu var notaður til þess að búa til vopn svo njósna mætti um notendur forritsins. Sérfræðingur í tölvuöryggi segir að um sé að ræða nútímalega vopnaframleiðslu sem sé helst nýtt af leyniþjónustum eða sambærilegum ríkisstofnunum. Hann segir ólíklegt að almenningur þurfi að óttast að verða fyrir árás vegna veikleikans en mikilvægt sé að hafa í huga að möguleikinn sé fyrir hendi.Persónuvernd hefur borist tilkynning frá Persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. Öryggisveikleikinn getur gert utanaðkomandi aðilum kleift að setja inn ósamþykktan hugbúnað og fá aðgang að persónulegum gögnum þeirra sem hafa sett upp WhatsApp-forritið í snjallsímanum sínum.Í samtali við Vísi segir Theódór R. Gíslason, tæknistjóri tölvuöryggisfyrirtækisins Syndis að allir notendur WhatsApp hafi verið berskjaldaðir fyrir veikleikanum. Þeir sem hafi hagt hug á að nýta sér hann hafi aðeins þurft að hringja í þann sem árásin ætti að beinast gegn.„Þegar þú ert í WhatsApp þá geturðu leitað að símanúmeri og athugað hvort manneskjan sé skráð á WhatsApp. Þú getur getur hringt í það til dæmis en manneskjan þarf ekki einu sinni að svara. Þarna ertu með hugbúnað á símanum þínum sem er að taka við fyrirspurnum frá hverjum sem er. Það eina sem þú þarft að vita er símanúmerið hjá fólki sem er með WhatsApp sett upp á símanum sínum,“ segir Theódór.Þannig hafi verið hægt að nýta sér veikleikann til þess að komast í alla skilaboðasöguna sem er geymd í WhatsApp-appinu og hlusta og hlera símtöl. Theodór Ragnar Gíslason,tæknistjóri hjá Syndis.Mynd/Stöð 2„Þetta er ógeðslegur bransi“ Ítarlega hefur verið fjallað um veikleikann á vef Guardian þar sem meðal annars var rætt við lögfræðing sem telur sig hafa orðið fyrir barðinu á árás í gegnum þennan veikleika í WhatsApp. Lögfræðingurinn vinnur nú að máli sem höfðað hefur verið gegn ísraelska öryggisfyrirtækinu NSO Group sem talið er að hafa þróað vopnið sem notað er til að nýta sér þennan veikleika í WhatsApp. „Þeir starfa við það að kaupa og selja veikleika, vopnavæða veikleikana og búa til vopn. Þetta vopn er svo hægt að nota á undirförulan máta til þess að brjótast inn í síma hjá öllum sem voru að keyra WhatsApp,“ segir Theódór um ísraelska fyrirtækið. Amnesty International og fimmtíu önnur samtök hafa kallað eftir því að ísraelsk yfirvöld meini fyrirtækinu að flytja út vörur þar sem tæknilausnir fyrirtækisins séu notaðar til þess að njósna um blaðamenn og aðra sem höndla með viðkvæmar upplýsingar sem gætu komið sér illa fyrir valdamikla aðila. Glöggt má heyra á Theódóri að hann virðist ekki vera hrifinn af starfsemi fyrirtækisins né sambærilegra fyrirtækja. „Þú þarft virkilega að sérsmíða vopn til þess að geta nýtt þetta almennilega og það er ekkert grín. Svo gera þeir það og vopnavæða svona „exploita“ til þess að misnota þennan tiltekna veikleika. Við vitum að þeir hafa selt til Sádí-Arabíu og við vitum að þeir hafi selt til annarra landa. Svo nota þessar ríkisstjórnir þetta vopn frá þessu ísraelska fyrirtæki til þess að brjótast inn í síma hjá fréttamönnum, hjá fólki sem það vill njósna um og svo framvegis til þess að fá upplýsingar og líka til þess að drepa. Þetta er ógeðslegur bransi og ekkert annað en nútímavopnaframleiðsla,“ segir Theódór.Öryggisveikleikar ganga kaupum og sölum.Vísir/GettyUpplýsingar um veikleika seljast fyrir háar fjárhæðir Upplýsingar um öryggisveikleika ganga kaupum og sölum og fer verðlagning þeirra eftir ýmsu. Viti fáir um öryggisveikleikann er hann þeim mun verðmætari. Þá séu öll samskiptaforrit, líka þau sem gefa sig út fyrir að bjóða upp á örugg samskipti sjálfkrafa skotspónn fyrir fyrirtæki eins og ísraelska fyrirtækið og önnur fyrirtæki sem leita að öryggisveikleikum í hugbúnaði, enda talsverðir peningar í spilunum finnist öryggisgalli sem óprúttnir aðilar séu tilbúnir að greiða fyrir að nýta sér.„Þarna erum við að tala um það sem kallast „Zero Day.“ Það er veikleiki sem enginn annar veit af, þess vegna hefur hann virði fyrir þá sem vilja nota þetta sem vopn. Þetta er eins og flugvél sem þú getur ekki séð á radar. Strax og einhver veit af veikleika í WhatsApp er þetta einskis virði.“ segir Theódór sem telur að öryggisveikleiki í WhatsApp gangi kaupum og sölum fyrir um 500 þúsund til tvær milljónir dollara, um 60 til 240 milljónir króna.WhatsApp segist hafa komist fyrir veikleikann með uppfærsluog eru allir notendur WhatsApp hvattir til þess að uppfæra í nýjustu útgáfu forritsins.Aðspurður um hvort líklegt sé að einhverjir Íslendingar hafi orðið á barðinu fyrir árás af þessu tagi segir Theódór að ekki sé hægt að útiloka slíkt.„Það kæmi mér ekki á óvart ef einhverjir íslenskir aðilar hafi lent í þessu. Þeir þurfa þó að vera þannig að það sé eitthvað eftirsóknarvert hjá þeim út af einhverri ástæðu,“ segir Theódór.WhatsApp er í eigu Facebook. Thedór segir erfitt að kenna Facebook um öryggisveikleikann. Einbeittur brotavilji hafi ráðuð för hér.Getty/ChesnotVera vakandi fyrir símtölum frá óþekktum númerum Ekki er hlaupið að því að komast að því hvort tiltekið tæki hafi orðið fyrir barðinu á árás vegna veikleikans en alltaf eru þó einhver ummerki um slíkt sem þurfi að greina með rannsókn tölvusérfræðinga. Eins og áður segir þurfti bara að hringja í tækið í gegnum WhatsApp til þessa að nýta veikleikann og segir Theódór að því sé gott að vera vakandi fyrir hringingum frá símanúmerum sem fólk kannist ekkert við.„Það eru fyrstu ummerkin. Það eru ummerkin sem venjulegt fólk getur séð. En til þess að komast ofan í kjölinn á þessu þarftu að hafa búnað til þess eða tæki eða tól,“ segir Theódór.Almenningur þurfi þó líklega ekki að óttast það að verða fyrir barðinu á árás en gott sé að hafa í huga að möguleikinn sé fyrir hendi.„En fyrir venjulegt fólk og okkur almenning skiptir þetta ekki það miklu máli fyrir utan það að vera meðvituð um hvað er hægt. Að vita það að það er alveg sama hvaða ráðstafanir þú gerir, ef þú ert að reyna að verja samskipti þín, þá áttu ekki séns gagnvart þessum leyniþjónustum. Það er gott að vita það að ef þú ert fréttamaður eða að reyna að vinna í einhverjum viðkvæmum hlutum.“ Facebook Tækni Tölvuárásir Tengdar fréttir Facebook leggur aukna áherslu á dulkóðun Í langri blogfærslu sem Mark Zuckerberg, stofnandi og forstjóri Facebook, birti í gær segir hann að forsvarsmenn fyrirtækisins vilji standa vörð um friðhelgi einkalífsins. 7. mars 2019 10:01 Alvarlegur öryggisveikleiki í Whatsapp Persónuvernd hefur borist tilkynning frá persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. 14. maí 2019 16:23 Mest lesið Stöðugleiki norðlægrar hringrásar skammgóður vermir fyrir Ísland Innlent Kröfur kvennaárs komnar í innheimtu og gjalddaginn fallinn Innlent Engin lausn og ákveðin sjálfsblekking að banna börnum að nota tölvuleiki Innlent Leggur viðskiptaþvinganir á rússneska olíurisa Erlent Mikill hiti í síðustu kappræðunum fyrir kosningar Erlent Segir tilvalin íbúðasvæði opnast með Sundabraut Innlent „Ég skoðanakúgaði sjálfa mig í þágu friðar og þæginda félagslega“ Innlent Næstum öllum sagt upp hjá dótturfélagi Play Innlent Niðurrif hafið á gamla Morgunblaðshúsinu Innlent Rannsaka „glæfraleg“ svikabrigsl fyrir andlát skákmeistarans unga Erlent Fleiri fréttir Halla tekur sér frí og vill að karlmenn axli ábyrgð Embættismenn sitji að hámarki í fjórtán ár og aðstoðarmenn hætti fyrir kosningar Engin lausn og ákveðin sjálfsblekking að banna börnum að nota tölvuleiki Stöðugleiki norðlægrar hringrásar skammgóður vermir fyrir Ísland Kröfur kvennaárs komnar í innheimtu og gjalddaginn fallinn Segir tilvalin íbúðasvæði opnast með Sundabraut Niðurrif hafið á gamla Morgunblaðshúsinu Næstum öllum sagt upp hjá dótturfélagi Play „Ég skoðanakúgaði sjálfa mig í þágu friðar og þæginda félagslega“ Burðardýr fengu þungan dóm fyrir kókaínsmygl Skora á ráðherra og segir skjaldborg slegið um vændiskaupendur Fresta fundi til tíu í fyrramálið Stórskemmtilegur innhringjandi og óhefðbundin útför Viðgerð muni taka einhverja mánuði „Afar ólíklegt“ að Nadine taki slaginn í borginni fyrir Miðflokkinn Grunuð um íkveikju í Nettó, Nytjamarkaðnum og eigin húsi Segir borgina refsa foreldrum til að mæta rekstrarvanda Aflýsa verkfalli öðru sinni Umferðarslys á Fagradal og veginum lokað Segir sorglega illa hafa verið haldið á hagsmunum flugsins Umferðarteppa í Ártúnsbrekku vegna aftanákeyrslu Bein útsending: Verndum vatnið Víða vetrarfærð, Fjarðarheiði lokuð og björgunarsveitir aðstoða fólk í föstum bílum Kettlingur í hættu vegna sprautunála og haldið í gíslingu af nágranna Kona í fjölbýlishúsinu talin brennuvargur en gengur laus „Vonbrigði hvað kom lítið út úr fundinum í gær“ Fangavörður rekinn fyrir að stela af fanga Óvissa á Grundartanga og flugumferðarstjórar funda Hafsteinn Dan tekur við formennsku í refsiréttarnefnd Klórar sér í kollinum yfir kvennaverkfallinu Sjá meira
Alvarlegi öryggisveikleikinn sem uppgötvast hefur í WhatsApp-samskiptaforritinu var notaður til þess að búa til vopn svo njósna mætti um notendur forritsins. Sérfræðingur í tölvuöryggi segir að um sé að ræða nútímalega vopnaframleiðslu sem sé helst nýtt af leyniþjónustum eða sambærilegum ríkisstofnunum. Hann segir ólíklegt að almenningur þurfi að óttast að verða fyrir árás vegna veikleikans en mikilvægt sé að hafa í huga að möguleikinn sé fyrir hendi.Persónuvernd hefur borist tilkynning frá Persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. Öryggisveikleikinn getur gert utanaðkomandi aðilum kleift að setja inn ósamþykktan hugbúnað og fá aðgang að persónulegum gögnum þeirra sem hafa sett upp WhatsApp-forritið í snjallsímanum sínum.Í samtali við Vísi segir Theódór R. Gíslason, tæknistjóri tölvuöryggisfyrirtækisins Syndis að allir notendur WhatsApp hafi verið berskjaldaðir fyrir veikleikanum. Þeir sem hafi hagt hug á að nýta sér hann hafi aðeins þurft að hringja í þann sem árásin ætti að beinast gegn.„Þegar þú ert í WhatsApp þá geturðu leitað að símanúmeri og athugað hvort manneskjan sé skráð á WhatsApp. Þú getur getur hringt í það til dæmis en manneskjan þarf ekki einu sinni að svara. Þarna ertu með hugbúnað á símanum þínum sem er að taka við fyrirspurnum frá hverjum sem er. Það eina sem þú þarft að vita er símanúmerið hjá fólki sem er með WhatsApp sett upp á símanum sínum,“ segir Theódór.Þannig hafi verið hægt að nýta sér veikleikann til þess að komast í alla skilaboðasöguna sem er geymd í WhatsApp-appinu og hlusta og hlera símtöl. Theodór Ragnar Gíslason,tæknistjóri hjá Syndis.Mynd/Stöð 2„Þetta er ógeðslegur bransi“ Ítarlega hefur verið fjallað um veikleikann á vef Guardian þar sem meðal annars var rætt við lögfræðing sem telur sig hafa orðið fyrir barðinu á árás í gegnum þennan veikleika í WhatsApp. Lögfræðingurinn vinnur nú að máli sem höfðað hefur verið gegn ísraelska öryggisfyrirtækinu NSO Group sem talið er að hafa þróað vopnið sem notað er til að nýta sér þennan veikleika í WhatsApp. „Þeir starfa við það að kaupa og selja veikleika, vopnavæða veikleikana og búa til vopn. Þetta vopn er svo hægt að nota á undirförulan máta til þess að brjótast inn í síma hjá öllum sem voru að keyra WhatsApp,“ segir Theódór um ísraelska fyrirtækið. Amnesty International og fimmtíu önnur samtök hafa kallað eftir því að ísraelsk yfirvöld meini fyrirtækinu að flytja út vörur þar sem tæknilausnir fyrirtækisins séu notaðar til þess að njósna um blaðamenn og aðra sem höndla með viðkvæmar upplýsingar sem gætu komið sér illa fyrir valdamikla aðila. Glöggt má heyra á Theódóri að hann virðist ekki vera hrifinn af starfsemi fyrirtækisins né sambærilegra fyrirtækja. „Þú þarft virkilega að sérsmíða vopn til þess að geta nýtt þetta almennilega og það er ekkert grín. Svo gera þeir það og vopnavæða svona „exploita“ til þess að misnota þennan tiltekna veikleika. Við vitum að þeir hafa selt til Sádí-Arabíu og við vitum að þeir hafi selt til annarra landa. Svo nota þessar ríkisstjórnir þetta vopn frá þessu ísraelska fyrirtæki til þess að brjótast inn í síma hjá fréttamönnum, hjá fólki sem það vill njósna um og svo framvegis til þess að fá upplýsingar og líka til þess að drepa. Þetta er ógeðslegur bransi og ekkert annað en nútímavopnaframleiðsla,“ segir Theódór.Öryggisveikleikar ganga kaupum og sölum.Vísir/GettyUpplýsingar um veikleika seljast fyrir háar fjárhæðir Upplýsingar um öryggisveikleika ganga kaupum og sölum og fer verðlagning þeirra eftir ýmsu. Viti fáir um öryggisveikleikann er hann þeim mun verðmætari. Þá séu öll samskiptaforrit, líka þau sem gefa sig út fyrir að bjóða upp á örugg samskipti sjálfkrafa skotspónn fyrir fyrirtæki eins og ísraelska fyrirtækið og önnur fyrirtæki sem leita að öryggisveikleikum í hugbúnaði, enda talsverðir peningar í spilunum finnist öryggisgalli sem óprúttnir aðilar séu tilbúnir að greiða fyrir að nýta sér.„Þarna erum við að tala um það sem kallast „Zero Day.“ Það er veikleiki sem enginn annar veit af, þess vegna hefur hann virði fyrir þá sem vilja nota þetta sem vopn. Þetta er eins og flugvél sem þú getur ekki séð á radar. Strax og einhver veit af veikleika í WhatsApp er þetta einskis virði.“ segir Theódór sem telur að öryggisveikleiki í WhatsApp gangi kaupum og sölum fyrir um 500 þúsund til tvær milljónir dollara, um 60 til 240 milljónir króna.WhatsApp segist hafa komist fyrir veikleikann með uppfærsluog eru allir notendur WhatsApp hvattir til þess að uppfæra í nýjustu útgáfu forritsins.Aðspurður um hvort líklegt sé að einhverjir Íslendingar hafi orðið á barðinu fyrir árás af þessu tagi segir Theódór að ekki sé hægt að útiloka slíkt.„Það kæmi mér ekki á óvart ef einhverjir íslenskir aðilar hafi lent í þessu. Þeir þurfa þó að vera þannig að það sé eitthvað eftirsóknarvert hjá þeim út af einhverri ástæðu,“ segir Theódór.WhatsApp er í eigu Facebook. Thedór segir erfitt að kenna Facebook um öryggisveikleikann. Einbeittur brotavilji hafi ráðuð för hér.Getty/ChesnotVera vakandi fyrir símtölum frá óþekktum númerum Ekki er hlaupið að því að komast að því hvort tiltekið tæki hafi orðið fyrir barðinu á árás vegna veikleikans en alltaf eru þó einhver ummerki um slíkt sem þurfi að greina með rannsókn tölvusérfræðinga. Eins og áður segir þurfti bara að hringja í tækið í gegnum WhatsApp til þessa að nýta veikleikann og segir Theódór að því sé gott að vera vakandi fyrir hringingum frá símanúmerum sem fólk kannist ekkert við.„Það eru fyrstu ummerkin. Það eru ummerkin sem venjulegt fólk getur séð. En til þess að komast ofan í kjölinn á þessu þarftu að hafa búnað til þess eða tæki eða tól,“ segir Theódór.Almenningur þurfi þó líklega ekki að óttast það að verða fyrir barðinu á árás en gott sé að hafa í huga að möguleikinn sé fyrir hendi.„En fyrir venjulegt fólk og okkur almenning skiptir þetta ekki það miklu máli fyrir utan það að vera meðvituð um hvað er hægt. Að vita það að það er alveg sama hvaða ráðstafanir þú gerir, ef þú ert að reyna að verja samskipti þín, þá áttu ekki séns gagnvart þessum leyniþjónustum. Það er gott að vita það að ef þú ert fréttamaður eða að reyna að vinna í einhverjum viðkvæmum hlutum.“
Facebook Tækni Tölvuárásir Tengdar fréttir Facebook leggur aukna áherslu á dulkóðun Í langri blogfærslu sem Mark Zuckerberg, stofnandi og forstjóri Facebook, birti í gær segir hann að forsvarsmenn fyrirtækisins vilji standa vörð um friðhelgi einkalífsins. 7. mars 2019 10:01 Alvarlegur öryggisveikleiki í Whatsapp Persónuvernd hefur borist tilkynning frá persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. 14. maí 2019 16:23 Mest lesið Stöðugleiki norðlægrar hringrásar skammgóður vermir fyrir Ísland Innlent Kröfur kvennaárs komnar í innheimtu og gjalddaginn fallinn Innlent Engin lausn og ákveðin sjálfsblekking að banna börnum að nota tölvuleiki Innlent Leggur viðskiptaþvinganir á rússneska olíurisa Erlent Mikill hiti í síðustu kappræðunum fyrir kosningar Erlent Segir tilvalin íbúðasvæði opnast með Sundabraut Innlent „Ég skoðanakúgaði sjálfa mig í þágu friðar og þæginda félagslega“ Innlent Næstum öllum sagt upp hjá dótturfélagi Play Innlent Niðurrif hafið á gamla Morgunblaðshúsinu Innlent Rannsaka „glæfraleg“ svikabrigsl fyrir andlát skákmeistarans unga Erlent Fleiri fréttir Halla tekur sér frí og vill að karlmenn axli ábyrgð Embættismenn sitji að hámarki í fjórtán ár og aðstoðarmenn hætti fyrir kosningar Engin lausn og ákveðin sjálfsblekking að banna börnum að nota tölvuleiki Stöðugleiki norðlægrar hringrásar skammgóður vermir fyrir Ísland Kröfur kvennaárs komnar í innheimtu og gjalddaginn fallinn Segir tilvalin íbúðasvæði opnast með Sundabraut Niðurrif hafið á gamla Morgunblaðshúsinu Næstum öllum sagt upp hjá dótturfélagi Play „Ég skoðanakúgaði sjálfa mig í þágu friðar og þæginda félagslega“ Burðardýr fengu þungan dóm fyrir kókaínsmygl Skora á ráðherra og segir skjaldborg slegið um vændiskaupendur Fresta fundi til tíu í fyrramálið Stórskemmtilegur innhringjandi og óhefðbundin útför Viðgerð muni taka einhverja mánuði „Afar ólíklegt“ að Nadine taki slaginn í borginni fyrir Miðflokkinn Grunuð um íkveikju í Nettó, Nytjamarkaðnum og eigin húsi Segir borgina refsa foreldrum til að mæta rekstrarvanda Aflýsa verkfalli öðru sinni Umferðarslys á Fagradal og veginum lokað Segir sorglega illa hafa verið haldið á hagsmunum flugsins Umferðarteppa í Ártúnsbrekku vegna aftanákeyrslu Bein útsending: Verndum vatnið Víða vetrarfærð, Fjarðarheiði lokuð og björgunarsveitir aðstoða fólk í föstum bílum Kettlingur í hættu vegna sprautunála og haldið í gíslingu af nágranna Kona í fjölbýlishúsinu talin brennuvargur en gengur laus „Vonbrigði hvað kom lítið út úr fundinum í gær“ Fangavörður rekinn fyrir að stela af fanga Óvissa á Grundartanga og flugumferðarstjórar funda Hafsteinn Dan tekur við formennsku í refsiréttarnefnd Klórar sér í kollinum yfir kvennaverkfallinu Sjá meira
Facebook leggur aukna áherslu á dulkóðun Í langri blogfærslu sem Mark Zuckerberg, stofnandi og forstjóri Facebook, birti í gær segir hann að forsvarsmenn fyrirtækisins vilji standa vörð um friðhelgi einkalífsins. 7. mars 2019 10:01
Alvarlegur öryggisveikleiki í Whatsapp Persónuvernd hefur borist tilkynning frá persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. 14. maí 2019 16:23