Специалисты в области информационной безопасности накануне сообщили о найденной ими уязвимости в веб-версиях популярных мессенджеров WhatsApp и Telegram (WhatsApp Web и Telegram Web).
Как утверждает компания Check Point, выявившая теперь уже закрытую брешь, киберзлоумышленники могли посылать жертвам вредоносный код под видом безобидной картинки. Стоило пользователям открыть изображение, хакеры получали доступ к локальным данным в WhatsApp или Telegram и могли полностью контролировать учетные записи мессенджеров.
"Из-за этой уязвимости сотни миллионов пользователей веб-версий WhatsApp и Telegram рисковали потерять контроль над своими аккаунтами. С помощью внешне совершенно безвредной фотографии злоумышленники могли захватить учетную запись, получить доступ к истории сообщений, всем фотографиям, отправленным через мессенджер, а также посылать сообщения от лица атакованного пользователя", - заявил Одед Вануну (Oded Vanunu), руководитель по исследованию уязвимостей продуктов Check Point.
Исследователи проинформировали WhatsApp и Telegram о проблеме на прошлой неделе. Обе компании признали наличие уязвимости и оперативно устранили ее, причем в WhatsApp сообщили о закрытии бреши на следующий же день после предупреждения от Check Point, пишет британское издание The Register.
"Как только специалисты Check Point уведомили нас о проблеме, мы в течение дня устранили ее и выпустили обновление для WhatsApp Web. Пользователям необходимо перезапустить браузер, чтобы удостовериться, что используется последняя версия приложения", - сообщил по поводу произошедшего представитель WhatsApp.
Между тем, в Telegram заявляют, что уязвимость в Telegram Web отличалась от бреши в WhatsApp, где человеку достаточно было открыть присланное хакерами изображение. Чтобы уловка злоумышленников сработала в Telegram, пользователю веб-версии мессенджера нужно было сначала запустить ролик с вредоносным кодом в браузере Chrome и в процессе просмотра снова открыть его в новой вкладке, щелкнув по видео правой кнопкой мыши и выбрав в меню соответствующую опцию. В Telegram подчеркнули, что только в этом случае атакованный аккаунт мог быть скомпрометирован, и что указанная выше последовательность действий нехарактерна для пользователей и не работала в Telegram Desktop или другой версии приложения. Тем не менее, эту "дыру" также устранили.
В Check Point пояснили, что источником уязвимости стало сквозное шифрование, которое используется в WhatsApp и Telegram для защиты данных пользователей и гарантирует, что пересылаемые сообщения смогут прочесть лишь отправитель и адресат.
"Поскольку сообщения были зашифрованы на стороне отправителя, их содержимое оказалось невидимым для WhatsApp и Telegram, следовательно, они не могли предотвратить отправку вредоносного контента. После исправления данной уязвимости содержимое сообщений теперь будет проверяться до шифрования, что позволит блокировать вредоносные файлы", - сказано в пресс-релизе Check Point.