Уязвимости в WhatsApp и Telegram позволяли завладеть чужими аккаунтами - Новости и Обзоры
интернет-защита
все антивирусы в одном приложении

Уязвимости в WhatsApp и Telegram позволяли завладеть чужими аккаунтами

SAP пропатчила ряд критических уязвимостей в облачной бизнес-платформе HANA; их эксплойт позволяет без аутентификации полностью скомпрометировать систему.

Исследователи предупреждают, что при использовании в связке эти бреши могут повлечь кражу конфиденциальной информации, финансовое мошенничество и дестабилизацию ключевых бизнес-процессов, не требуя при этом наличия легитимного имени пользователя и пароля к СУБД HANA. Автор атаки сможет модифицировать информацию в базе данных, в том числе платежные реквизиты, и изменить HTML-код для любого сайта, использующего HANA XS.

Схема атаки

Так, WhatsApp позволяет передавать различные типы файлов: документы Office, PDF, аудиофайлы, видеофайлы, изображения. Однако исследователям Check Point удалось обмануть ограничения мессенджера и заставить его передать вредоносный HTML-файл, оснастив его превью, будто это обыкновенная картинка. Как только жертва нажимает на такую приманку, веб-клиент WhatsApp использует FileReader HTML 5 API для генерации уникального BLOB URL, содержащего контент атакующего, и жертва направляется по этой ссылке.

Веб-версия Telegram также поддерживает передачу различных файлов, но только изображения и видео используют для хранения Filesystem в браузере. Поэтому в данном случае исследователи замаскировали вредоносный HTML-документ под файл video/mp4, подделав MIME-тип файла. Как только пользователь откроет такой ролик в новой вкладке, и тот начнет проигрываться, все данные сессии пользователя будут переданы атакующему.

«Эта новая уязвимость подвергла риску полного захвата аккаунты миллионов пользователей WhatsApp Web и Telegram Web, — говорит Одед Вануну, глава подразделения Check Point Software Technologies по исследованиям и поиску уязвимостей. — Всего лишь отправив невинное с виду фото, злоумышленник мог получить контроль над аккаунтом, доступ к истории сообщений, всем фото, которые были отправлены и получены, и отправлять сообщения от имени пользователя».

8 марта 2017 года специалисты компании Check Point передали информацию об уязвимостях в отделы по безопасности WhatsApp и Telegram. Разработчики WhatsApp и Telegram признали проблему и уже выпустили исправление для веб-клиентов по всему миру. Теперь пользователям WhatsApp и Telegram, которые хотят убедиться, что используют последнюю версию веб-клиента, рекомендуется перезапустить браузер.

Ниже можно увидеть демонстрацию обеих атак на видео.

Сообщество Вконткте
обзоры антивирусов и программ безопасности
Комментарии и отзывы
Добавляя комментарий, ознакомьтесь с Правилами сообщества
Система Orphus