Уязвимость, дающая полный доступ к аккаунту найдена в WhatsApp и Telegram

Исследователи Check Point Software Technologies Ltd. обнаружили новую уязвимость в онлайн-платформах популярных мессенджеров WhatsApp и Telegram — WhatsApp Web и Telegram Web. Используя эти уязвимости, злоумышленники могли полностью завладеть аккаунтом жертвы и получить доступ к ее персональным и групповым перепискам, фото, видео и другим переданным файлам, контактам и так далее.

Уязвимость позволяет хакерам отправить жертве вредоносный код, зашитый в безобидную с виду картинку. Как только пользователь кликает на изображение, злоумышленник получает полный доступ к хранящимся данным пользователя WhatsApp или Telegram, что дает ему контроль над аккаунтом жертвы. Затем хакер может разослать вредоносный файл всем контактам жертвы — это позволяет организовать масштабную атаку.

 

• Защищенная портативная колонка WAVEFUN Cuboid
• Xiaomi готовит мега-топовый игровой смартфон
• Компания Schneider Electric представила умные системы для повышения эффективности нефтедобычи

«Эта новая уязвимость подвергла риску полного захвата аккаунты миллионов пользователей WhatsApp Web и Telegram Web, — говорит Одед Вануну, глава подразделения Check Point Software Technologies по исследованиям и поиску уязвимостей. — Всего лишь отправив невинное с виду фото, злоумышленник мог получить контроль над аккаунтом, доступ к истории сообщений, всем фото, которые были отправлены и получены, и отправлять сообщения от имени пользователя».

Check Point передал эту информацию в отделы по безопасности WhatsApp и Telegram 8 марта 2017 года. WhatsApp и Telegram признали проблему и разработали исправление для веб-клиентов по всему миру. «К счастью, WhatsApp и Telegram отреагировали быстро и серьезно подошли к разработке мер против использования этой уязвимости в веб-клиентах», — говорит Одед Вануну. Пользователям WhatsApp и Telegram, которые хотят убедиться, что используют последнюю версию, рекомендуется перезапустить браузер.

WhatsApp и Telegram используют сквозное шифрование сообщений в качестве меры защиты данных, благодаря которому только непосредственные участники переписки могут читать сообщения, и никто не вторгается в их процесс коммуникации. Однако это сквозное шифрование и стало источником уязвимости. Так как сообщения были зашифрованы со стороны отправителя, WhatsApp и Telegram не могли определить качество контента. Соответственно, они не могли предотвратить отправку вредоносного кода. После закрытия этой уязвимости контент теперь проверяется до шифровки, что позволяет блокировать вредоносные файлы.

Обе веб-версии отображают все сообщения, которые были отправлены и получены через мобильное приложение, и полностью синхронизированы с устройствами пользователя.

Если вам интересны новости мира ИТ так же сильно, как нам, подписывайтесь на Telegram-канал. Там все материалы появляются максимально оперативно. Или, может быть, удобнее "Вконтакте"?

Поговорить?

Уже наговорили:

Читайте нас где удобно

Ещё на эту тему было

• Защищенная портативная колонка WAVEFUN Cuboid
• Xiaomi готовит мега-топовый игровой смартфон
• Компания Schneider Electric представила умные системы для повышения эффективности нефтедобычи
• Google экспериментирует с нижним тулбаром в звонилке
• «Мегафон» сообщает, что продажи смартфонов Xiaomi выросли в 5 раз
• Как включить отображение заряда аккумулятора в процентах в Android?
• Популярная клавиатура Swype для Android больше не будет развиваться
• Nokia 10 понизили до Nokia 8 Pro, но прокачали камеры
• Sony дразнит изогнутыми линиями и новым дизайном
• Рассекречено целиком: полные спецификации Samsung galaxy S9

Для тех, кто долистал

Ай-ти шуточка бонусом. Инновации, которые мы хотим: камеры, "железо", продуманные интерфейсы и ПО. Инновации, которые мы получаем: Pro, Pro+, Pro Max, Ultra, Ultimate, CE, RT, SE.