vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

Уязвимость в WhatsApp позволяла захватывать аккаунт при помощи фотографии

Дата публикации: 19.03.2017
Количество просмотров: 1144

Специалисты в области информационной безопасности накануне сообщили о найденной ими уязвимости в веб-версиях популярных мессенджеров WhatsApp и Telegram (WhatsApp Web и Telegram Web).

Как утверждает компания Check Point, выявившая теперь уже закрытую брешь, киберзлоумышленники могли посылать жертвам вредоносный код под видом безобидной картинки. Стоило пользователям открыть изображение, хакеры получали доступ к локальным данным в WhatsApp или Telegram и могли полностью контролировать учетные записи мессенджеров.

"Из-за этой уязвимости сотни миллионов пользователей веб-версий WhatsApp и Telegram рисковали потерять контроль над своими аккаунтами. С помощью внешне совершенно безвредной фотографии злоумышленники могли захватить учетную запись, получить доступ к истории сообщений, всем фотографиям, отправленным через мессенджер, а также посылать сообщения от лица атакованного пользователя", - заявил Одед Вануну (Oded Vanunu), руководитель по исследованию уязвимостей продуктов Check Point.

Исследователи проинформировали WhatsApp и Telegram о проблеме на прошлой неделе. Обе компании признали наличие уязвимости и оперативно устранили ее, причем в WhatsApp сообщили о закрытии бреши на следующий же день после предупреждения от Check Point, пишет британское издание The Register.

"Как только специалисты Check Point уведомили нас о проблеме, мы в течение дня устранили ее и выпустили обновление для WhatsApp Web. Пользователям необходимо перезапустить браузер, чтобы удостовериться, что используется последняя версия приложения", - сообщил по поводу произошедшего представитель WhatsApp.

Между тем, в Telegram заявляют, что уязвимость в Telegram Web отличалась от бреши в WhatsApp, где человеку достаточно было открыть присланное хакерами изображение. Чтобы уловка злоумышленников сработала в Telegram, пользователю веб-версии мессенджера нужно было сначала запустить ролик с вредоносным кодом в браузере Chrome и в процессе просмотра снова открыть его в новой вкладке, щелкнув по видео правой кнопкой мыши и выбрав в меню соответствующую опцию. В Telegram подчеркнули, что только в этом случае атакованный аккаунт мог быть скомпрометирован, и что указанная выше последовательность действий нехарактерна для пользователей и не работала в Telegram Desktop или другой версии приложения. Тем не менее, эту "дыру" также устранили.

В Check Point пояснили, что источником уязвимости стало сквозное шифрование, которое используется в WhatsApp и Telegram для защиты данных пользователей и гарантирует, что пересылаемые сообщения смогут прочесть лишь отправитель и адресат.

"Поскольку сообщения были зашифрованы на стороне отправителя, их содержимое оказалось невидимым для WhatsApp и Telegram, следовательно, они не могли предотвратить отправку вредоносного контента. После исправления данной уязвимости содержимое сообщений теперь будет проверяться до шифрования, что позволит блокировать вредоносные файлы", - сказано в пресс-релизе Check Point.

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/news/newsline/31271/uyazvimost-v-whatsapp-pozvolyala-zahvatyivat-akkaunt-pri-pomoschi-fotografii.html

Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться