Николай Анисеня, руководитель группы исследований безопасности мобильных приложений Positive Technologies, объяснил, что пользователи, установившие последнее обновление WhatsApp, не подвержены атакам с использованием уязвимостей, о которых написал в своем Telegram-канале основатель Telegram Павел Дуров.

WhatsApp действительно опубликовал security advisory на своём официальном сайте, где говорится об упомянутых Павлом Дуровым уязвимостях. Данные баги могли позволить атакующему исполнить произвольный код от имени приложения WhatsApp на устройстве жертвы, то есть, получить полный контроль над приложением, отметил Анисеня.

Уязвимостям присвоены идентификаторы CVE (CVE-2022-36934, CVE-2022-27492), и о них известно публично. Это означает, что данные бреши уже устранены, подчеркнул эксперт. Поэтому пользователи, установившие последнее обновление, не подвержены атакам с использованием этих уязвимостей.

«К заявлениям о том, что через эти баги атакующий может получить доступ к любым данным, я бы отнесся с настороженностью, – прокомментировал Анисеня. – Дело в том, что мобильные ОС разграничивают доступ приложений к данным друг друга: например, WhatsApp не имеет доступа к контейнеру вашего мобильного банка. Для того, чтобы злоумышленники могли обойти данную защиту, им потребуется либо подходящая уязвимость в приложении мобильного банка, либо уязвимость в самой ОС: например, повышение привилегий для обхода песочниц Sandbox. К уязвимости в WhatsApp эти потенциальные сценарии не имеют отношения».

Также Павел Дуров считает, что регулярные сообщения об исправленных уязвимостях в WhatsApp свидетельствуют о том, что это на самом деле не уязвимости, а бэкдоры — программные закладки, намеренно внесённые разработчиком для слежки. «Так это или нет — не известно, – высказывает свое мнение эксперт Positive Technologies. – Зато известно, что для крупных приложений (не только мессенджеров) считается нормой иметь свою программу вознаграждения за найденные уязвимости (bug bounty) и регулярно сообщать об улучшении безопасности. Такие программы есть не только у WhatsApp, но и у Telegram. Российские мессенджеры тоже имеют такие программы, например, VK».

11 октября, 2022

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

23.05.2024
Звёздный путь. Telegram анонсировал изменения в части внутренних платежей
23.05.2024
«СОГАЗ»: В будущем противостоять киберугрозам без ИИ будет невозможно
23.05.2024
Рынок микроэлектроники в России показывает рост на 40%
23.05.2024
Шадаев: Утильсбор выглядит наиболее рабочим механизмом
22.05.2024
15-я конференция Школы IT-менеджмента «Экономика данных. Вызовы и перспективы»
22.05.2024
Проводники РЖД перейдут на российские смартфоны с ОС «Аврора»
22.05.2024
Возможность договориться и слепота регуляторов на местах. Что ещё вывело Россию в лидеры по майнингу?
22.05.2024
ИИ-вендоры договорились ограничивать технологию, когда это необходимо
22.05.2024
В ЦИПР-2024 принимают участие 14 международных делегаций
21.05.2024
Запись звонков в режиме реального времени граничит с нарушением неприкосновенности частной жизни

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных