Исследователи Check Point® Software Technologies Ltd. (NASDAQ: CHKP) обнаружили новую уязвимость в онлайн-платформах популярных мессенджеров WhatsApp и Telegram — WhatsApp Web и Telegram Web.Используя эти уязвимости, злоумышленники могли полностью завладеть аккаунтом жертвы и получить доступ к ее персональным и групповым перепискам, фото, видео и другим переданным файлам, контактам и так далее.
Уязвимость позволяет хакерам отправить жертве вредоносный код, зашитый в безобидную с виду картинку. Как только пользователь кликает на изображение, злоумышленник получает полный доступ к хранящимся данным пользователя WhatsApp или Telegram, что дает ему контроль над аккаунтом жертвы. Затем хакер может разослать вредоносный файл всем контактам жертвы — это позволяет организовать масштабную атаку.
«Эта новая уязвимость подвергла риску полного захвата аккаунты миллионов пользователей WhatsApp Web и TelegramWeb, — говорит Одед Вануну, глава подразделения Check Point Software Technologies по исследованиям и поиску уязвимостей. — Всего лишь отправив невинное с виду фото, злоумышленник мог получить контроль над аккаунтом, доступ к истории сообщений, всем фото, которые были отправлены и получены, и отправлять сообщения от имени пользователя».
Check Point передал эту информацию в отделы по безопасности WhatsApp и Telegram 8 марта 2017 года. WhatsApp и Telegram признали проблему и разработали исправление для веб-клиентов по всему миру. «К счастью, WhatsApp иTelegram отреагировали быстро и серьезно подошли к разработке мер против использования этой уязвимости в веб-клиентах», — говорит Одед Вануну. Пользователям WhatsApp и Telegram, которые хотят убедиться, что используют последнюю версию, рекомендуется перезапустить браузер.
WhatsApp и Telegram используют сквозное шифрование сообщений в качестве меры защиты данных, благодаря которому только непосредственные участники переписки могут читать сообщения, и никто не вторгается в их процесс коммуникации. Однако это сквозное шифрование и стало источником уязвимости. Так как сообщения были зашифрованы со стороны отправителя, WhatsApp и Telegram не могли определить качество контента. Соответственно, они не могли предотвратить отправку вредоносного кода. После закрытия этой уязвимости контент теперь проверяется до шифровки, что позволяет блокировать вредоносные файлы.
Обе веб-версии отображают все сообщения, которые были отправлены и получены через мобильное приложение, и полностью синхронизированы с устройствами пользователя.
WhatsApp — более 1 миллиарда пользователей по всему миру делают этот мессенджер самой распространенной службой мгновенных сообщений на сегодняшний день. Веб-версия доступна для любых браузеров, и WhatsApp поддерживает платформы Android, iPhone (iOS), Windows Phone 8.x, BlackBerry, BB10 и смартфоны Nokia.
Telegram — это облачное мобильное и десктопное приложение-мессенджер с более 100 миллионами активных пользователей в месяц. Передает более 15 миллиардов сообщений ежедневно.
Технические подробности можно посмотреть в блоге Check Point: http://blog.checkpoint.com/2017/03/15/check-point-discloses-vulnerability-whatsapp-telegram/
Демо-видео механики атаки доступны здесь:
· WhatsApp: https://youtu.be/UR_i5XSAKrg
· Telegram: https://youtu.be/26Ih4xTcP-E
Уязвимость позволяет хакерам отправить жертве вредоносный код, зашитый в безобидную с виду картинку. Как только пользователь кликает на изображение, злоумышленник получает полный доступ к хранящимся данным пользователя WhatsApp или Telegram, что дает ему контроль над аккаунтом жертвы. Затем хакер может разослать вредоносный файл всем контактам жертвы — это позволяет организовать масштабную атаку.
«Эта новая уязвимость подвергла риску полного захвата аккаунты миллионов пользователей WhatsApp Web и TelegramWeb, — говорит Одед Вануну, глава подразделения Check Point Software Technologies по исследованиям и поиску уязвимостей. — Всего лишь отправив невинное с виду фото, злоумышленник мог получить контроль над аккаунтом, доступ к истории сообщений, всем фото, которые были отправлены и получены, и отправлять сообщения от имени пользователя».
Check Point передал эту информацию в отделы по безопасности WhatsApp и Telegram 8 марта 2017 года. WhatsApp и Telegram признали проблему и разработали исправление для веб-клиентов по всему миру. «К счастью, WhatsApp иTelegram отреагировали быстро и серьезно подошли к разработке мер против использования этой уязвимости в веб-клиентах», — говорит Одед Вануну. Пользователям WhatsApp и Telegram, которые хотят убедиться, что используют последнюю версию, рекомендуется перезапустить браузер.
WhatsApp и Telegram используют сквозное шифрование сообщений в качестве меры защиты данных, благодаря которому только непосредственные участники переписки могут читать сообщения, и никто не вторгается в их процесс коммуникации. Однако это сквозное шифрование и стало источником уязвимости. Так как сообщения были зашифрованы со стороны отправителя, WhatsApp и Telegram не могли определить качество контента. Соответственно, они не могли предотвратить отправку вредоносного кода. После закрытия этой уязвимости контент теперь проверяется до шифровки, что позволяет блокировать вредоносные файлы.
Обе веб-версии отображают все сообщения, которые были отправлены и получены через мобильное приложение, и полностью синхронизированы с устройствами пользователя.
WhatsApp — более 1 миллиарда пользователей по всему миру делают этот мессенджер самой распространенной службой мгновенных сообщений на сегодняшний день. Веб-версия доступна для любых браузеров, и WhatsApp поддерживает платформы Android, iPhone (iOS), Windows Phone 8.x, BlackBerry, BB10 и смартфоны Nokia.
Telegram — это облачное мобильное и десктопное приложение-мессенджер с более 100 миллионами активных пользователей в месяц. Передает более 15 миллиардов сообщений ежедневно.
Технические подробности можно посмотреть в блоге Check Point: http://blog.checkpoint.com/2017/03/15/check-point-discloses-vulnerability-whatsapp-telegram/
Демо-видео механики атаки доступны здесь:
· WhatsApp: https://youtu.be/UR_i5XSAKrg
· Telegram: https://youtu.be/26Ih4xTcP-E
