Unu el la plej maltrankviligaj elfluoj de la lastatempa publikigado de WikiLeaks estas la eblo, ke registaraj organizaĵoj povas kompromiti WhatsApp, Telegramon kaj aliajn fin-ĝis-finajn ĉifritajn retbabilajn programojn. Kvankam ĉi tio ankoraŭ ne estas pruvita, multaj finuzantoj maltrankviliĝas pri ĉifrado de WhatsApp kaj Telegram por garantii privatan uzanton. Ĉi tiu ĉifrado estas desegnita por certigi, ke nur la homoj komunikantaj povas legi la mesaĝojn kaj neniu alia inter si.
Sed ĉi tiu sama mekanismo ankaŭ estis la origino de nova vundebleco, kiun ni malkovris en ambaŭ retaj platformoj de mesaĝ-servo WhatsApp-retejo kaj Telegram-retejo. La reta versio de ĉi tiuj platformoj spegulas ĉiujn mesaĝojn senditajn kaj ricevitajn de la uzanto kaj estas plene sinkronigitaj kun la aparato de la uzantoj.
Ĉi tiu vundebleco, se ekspluatita, permesus al atakantoj tute transpreni kontojn de uzantoj en iu ajn retumilo, kaj aliri la personajn kaj grupajn konversaciojn de viktimoj, fotojn, filmetojn kaj aliajn komunajn dosierojn, kontaktlistojn kaj pli. Ĉi tio signifas, ke atakantoj eble povus elŝuti viajn fotojn aŭ afiŝi ilin interrete, sendi mesaĝojn por vi, postuli elaĉeton, kaj eĉ transpreni la kontojn de viaj amikoj.
Do, la venontan fojon, kiam iu sendos al vi foton de bela kato aŭ varmega ido per WhatsApp aŭ Telegram, tiam atentu antaŭ ol vi alklakos la bildon por vidi, ĝi eble hakos vian konton post sekundoj. Komputila sekureca firmao merkrede malkaŝis difekton, kiu povus lasi retpiratojn eniri kontojn de mesaĝado de WhatsApp aŭ Telegram uzante la ĉifradon celitan protekti mesaĝojn.
Teknikaj detaloj - WhatsApp
WhatsApp-alŝuta dosiera mekanismo subtenas plurajn dokumentajn tipojn kiel Oficejaj Dokumentoj, PDF, Aŭdaj Dosieroj, Videoj kaj Bildoj. Ĉiu el la subtenataj specoj povas esti alŝutita kaj sendita al WhatsApp-klientoj kiel aldonaĵo.
Tamen, esplorista teamo Check Point sukcesis preterpasi la limigojn de la mekanismo alŝutante malican HTML-dokumenton kun legitima antaŭvido de bildo por trompi viktimon alklaki la dokumenton por transpreni sian konton. Post kiam la viktimo alklakas la dokumenton, la WhatsApp-kliento uzas la alvokon API FileReader HTML 5 API por generi unikan BLOB-URL kun la dosiero enhavo sendita de la atakanto kaj navigas la uzanton al ĉi tiu URL.
Teknikaj detaloj - Telegramo
Telegram subtenas multoblajn dokumentajn tipojn sendotajn al la TTT-programo, sed la solaj bildaj kaj vidaj dokumentaj tipoj estas konservitaj en la sekcio Dosier-sistemo ene de la retumilo.
Esploristoj de Check Point sukcesis preterpasi la alŝutan politikon de Telegram kaj alŝuti malican HTML-dokumenton kun mima speco de videodosiero "video / mp4". Tiam ili povis sendi ĝin al la viktima flanko en ĉifrita kanalo per telegramaj serviloj. Post kiam la viktimo malfermos la filmeton en nova retumila langeto, ĝi komencos ludi kaj la sesiaj datumoj de la uzantoj estos senditaj al la atakanto.
Kurioze, ĝi estas la kompleta ĉifra trajto de ĉi tiuj programoj, kiu helpus retpiratojn utiligi la difekton. Ĉar la enhavo de retbabiloj estas ĉifrita ĉifre, tio signifas, ke nek WhatsApp nek Telegram povis vidi la malware kaŝitan en komuna malica bildo. Tio signifas, ke ambaŭ kompanioj estus blindaj pri la enhavo, permesante malican kodon transdoni tien kaj reen inter uzantoj.
Ekde nun, enhavo estos validigita antaŭ la ĉifrado, klarigas Check Point, kiu blokus malicajn dosierojn. La teamo Check Point ankaŭ skizas kelkajn metodojn por certigi, ke vi ne estas viktimoj de tiaj hakoj.
Sekurecaj Konsiletoj pri Kontrolpunkto:
Dum WhatsApp kaj Telegram flikis ĉi tiun vundeblecon, kiel ĝenerala praktiko ni rekomendas la jenajn preventajn rimedojn:
1. Periode purigu ensalutitajn komputilojn de via WhatsApp kaj Telegram. Ĉi tio permesos al vi regi la aparatojn, kiuj gastigas vian konton, kaj fermi nedeziratan agadon.
2. Evitu malfermi suspektindajn dosierojn kaj ligojn de nekonataj uzantoj.
Post solvo de ĉi tiu difekto, enhavo en la interretaj versioj de WhatsApp kaj Telegram nun validiĝos antaŭ ol la finfina ĉifrado ekludos, permesante blokadon de malicaj dosieroj.
