WhatsApp и Telegram взломали одним файлом — видео

Discussion in 'Мировые новости. Обсуждения.' started by +, 17 Mar 2017.

  1. +


    Компания Check Point, специализирующаяся на информационной безопасности, сообщила в своем блоге о том, что популярные мессенджеры WhatsApp и Telegram содержат опасные уязвимости, используя которые злоумышленник может получить контроль над аккаунтом жертвы. Для этого хакеру достаточно прислать жертве безобидный на вид файл (например, картинку), содержащий в себе вредоносный код, и заставить пользователя этот файл открыть.

    Два видео с демонстрацией работы эксплойта, посредством которого злоумышленник получает контроль над чужим аккаунтом, опубликованы на YouTube-канале CheckPoint. В первом видео (вверху) показан захват аккаунта в WhatsApp, а во втором (внизу) — в Telegram.

    В свою очередь представители Telegram уже опровергли это сообщение, заявив, что уязвимость касается только мессенджера WhatsApp и не затрагивает Telegram. Соответствующее разъяснение опубликовано в блоге Telegram. Как утверждают представители мессенджера, компания Check Point ввела СМИ в заблуждение с целью самопиара.


     
  2. +
    Брешь в WhatsApp и Telegram грозила угоном аккаунта

    В защищенных мессенджерах WhatsApp и Telegram пропатчена уязвимость, позволявшая захватить аккаунт и просматривать персональную и групповую переписку, в том числе фото, видео и другие файлы.

    В среду в блоге Check Point была опубликована запись, в которой Эран Вакнин (Eran Vaknin), Роман Зайкин и Дикла Барда (Dikla Barda) подробно рассказали о найденной ими бреши в веб-версиях WhatsApp и Telegram. По мнению исследователей, причиной возникновения уязвимости является некорректность парсинга вложений. Эксплуатация бреши в обоих случаях осуществляется посредством отправки пользователю файла с вредоносным кодом. Если этот файл открыть, атакующий получит доступ к локальной памяти жертвы, а затем к ее личной переписке и фотографиям.

    Механизм загрузки файлов WhatsApp поддерживает и передает на клиенты вложением несколько типов документов: Office, PDF, аудио, видео и графику. Исследователям удалось обойти это ограничение, внедрив во вредоносный HTML легитимное изображение для предварительного просмотра.

    При открытии такого документа веб-клиент WhatsApp через вызов FileReader HTML 5 API генерирует уникальную ссылку на объект BLOB с содержимым присланного файла и направляет пользователя на этот URL. Жертве при этом отображается маскировочная картинка и BLOB — объект FileReader, размещенный на web.whatsapp.com, а тем временем атакующий получает доступ к ресурсам браузера (через web.whatsapp.com).

    «Достаточно просто просмотреть страницу, даже кликать никуда не надо, и данные из локальной памяти окажутся у злоумышленника, что позволит ему захватить аккаунт, — поясняют Вакнин, Зайкин и Барда. — Автор атаки создает JavaScript-функцию, которая каждые две секунды проверяет наличие новых данных на бэкенд-сервере и заменяет содержимое локальной памяти данными от жертвы». После этого атакующий перенаправляется на аккаунт жертвы и сможет делать с ним все, что захочет.

    WhatsApp воспринимает подобную ситуацию как вход одного и того же пользователя из двух разных мест и реагирует подсказкой: осуществить выход или остаться на связи. Исследователи смогли преодолеть это препятствие с помощью дополнительного JavaScript-кода.

    [​IMG]

    Аналогичную атаку в Check Point провели против Telegram. Вредоносный HTML-документ, на сей раз с видеоданными MIME-типа (video/MP4), был успешно загружен на сервер в обход ограничений и затем отправлен «жертве» по шифрованному каналу. При открытии этого файла в новой вкладке браузера запустилось видео, содержимое локальной памяти попало к «атакующему», и JavaScript произвел подмену, позволившую захватить аккаунт. Исследователи не преминули отметить, что Telegram, в отличие от WhatsApp, позволяет одновременно использовать множество сессий под одним аккаунтом, поэтому жертва даже не заметит угон.

    Представители Telegram усомнились в правильности выводов Check Point, заявив, что успешная атака на их мессенджер «потребует особых условий и очень необычных действий от атакуемого пользователя». Чтобы скомпрометировать аккаунт, пользователя придется убедить кликом включить проигрыватель видео, а затем, тоже кликом, открыть его в новой вкладке. Кроме того, подобная атака, по мнению компании, возможна лишь на Chrome. После этого заявления Check Point подкорректировала свою блог-запись, добавив фразу об открытии видео в новой вкладке браузера.

    Когда WhatsApp и Telegram пропатчили уязвимость, точно неизвестно, но произошло это очень быстро. Check Point разослала им уведомления 7 марта. Обе компании, по словам исследователей, «произвели проверку и подтвердили нарушение безопасности, а вскоре после этого создали патч для веб-клиентов, расположенных по всему миру».
     
  3. NTaker

    NTaker Member

    Joined:
    10 Dec 2013
    Messages:
    85
    Likes Received:
    74
    Reputations:
    15
    не понимаю настолько надо быть полным долбаебом, чтобы следовать "тяжелым инструкциям по звонку/смс", чтобы дать злоумышленнику воспользоваться какой-то дырявой хуетой, когда любая проверка звонком (в том числе и голосом) разрушит любой развод. впрочем дебилам оно пойдет на пользу и на пикабушечке будет новая волна постов о полных идиотах.
     
  4. V777

    V777 Elder - Старейшина

    Joined:
    12 May 2015
    Messages:
    1,200
    Likes Received:
    2,504
    Reputations:
    20
    Так Дуров вроде 200 или 300 штук американских рублей обещал , заплатил ?
    Мессенджер Telegram, созданный основателем «ВКонтакте» Павлом Дуровым, объявил о конкурсе, в котором необходимо взломать переписку двух ботов. Тому, кто сумеет это сделать, представители компании обещают $300 000. Об этом сообщается на официальном сайте Telegram.
     
  5. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,854
    Likes Received:
    13,730
    Reputations:
    352
    Они разве переписку тех двух ботов вскрыли, схерали им Павлик платить будет?
     
    _________________________
    V777 likes this.
Loading...