WhatsApp obsahuje kurióznu chybu, Meta ale tvrdí, že to nie je chyba.
Analytik malvéru Mobile Hacker ukázal na sieti X, ako sa dá aplikácia zneužiť podvrhnutím falošného PDF súboru. Tento postup funguje vo verzii WhatsApp pre Android a je potrebné využiť rozhranie API. Nefunguje poslaním falošného PDF priamo, čo je dobrá správa. Aj preto sa Meta vyhýba označeniu, že ide o zraniteľnosť. Podobný prípad tomuto bol aj na Telegrame. Tam však išlo o závažnú chybu.
Podľa Mety, kam analytik odoslal svoj objav, ide viac o sociálne inžinierstvo. Postup je jednoduchý, stačí zmeniť príponu súboru. WhatsApp ale bude aj napriek tejto zmene zobrazovať, že ide o súbor APK s možnosťou inštalácie. Aj keď bude názov ešte obsahovať druhú príponu PDF. Ide o tzv. zdvojené prípony, s ktorými bol pred mnohými rokmi problém aj vo Windows.
Používateľa, ktorý vie, čo je APK a PDF, môže zbystriť pozornosť. Používateľ vždy vidí, že nejde o PDF, keďže sa zobrazí systémové hlásenie o inštalácii programu. Tu je možnosť ho zavrieť. Akonáhle je tento postup potvrdený, do Androidu sa môže nainštalovať škodlivá aplikácia. Je jasné, že nejde o priamu chybu WhatsAppu a ani systému. Ten po povolení nainštaluje aplikáciu na vyžiadanie používateľa.
Zdroj: Mobile Hacker
Prečítajte si aj:
