Waħda mill-iktar tnixxija inkwetanti li tirriżulta mill-pubblikazzjoni reċenti tal-WikiLeaks hija l-possibbiltà li organizzazzjonijiet tal-gvern jistgħu jikkompromettu WhatsApp, Telegram, u applikazzjonijiet oħra ta 'chat encrypted end-to-end. Filwaqt li dan għad irid jiġi ppruvat, bosta utenti finali huma mħassba dwar il-encryption end-to-end ta 'WhatsApp u Telegram biex jiggarantixxu l-privatezza tal-utent. Din l-iċċifrar hija mfassla biex tiżgura li n-nies li jikkomunikaw biss jistgħu jaqraw il-messaġġi u ħadd ieħor bejniethom.
Iżda, dan l-istess mekkaniżmu kien ukoll l-oriġini ta 'vulnerabbiltà ġdida li skoprejna fiż-żewġ pjattaformi onlajn tas-servizz ta' messaġġi WhatsApp Web u Telegram Web. Il-verżjoni online ta 'dawn il-pjattaformi tirrifletti l-messaġġi kollha mibgħuta u riċevuti mill-utent u huma kompletament sinkronizzati mal-apparat tal-utenti.
Din il-vulnerabbiltà, jekk tiġi sfruttata, kienet tippermetti lill-attakkanti jieħdu kompletament il-kontijiet tal-utenti fuq kwalunkwe browser, u jkollhom aċċess għall-konversazzjonijiet personali u tal-grupp tal-vittmi, ritratti, vidjows u fajls oħra kondiviżi, listi ta 'kuntatti, u aktar. Dan ifisser li l-attakkanti jistgħu possibilment iniżżlu r-ritratti tiegħek u jew jibagħtuhom onlajn, jibagħtu messaġġi f'ismek, jitolbu fidwa, u anke jieħdu f'idejhom il-kontijiet ta 'ħbiebek.
Allura, id-darba li jmiss meta xi ħadd jibgħatlek ritratt ta 'qattus ħelu jew flieles sħan fuq WhatsApp jew Telegram, imbagħad oqgħod attent qabel ma tikklikkja fuq l-immaġni biex tarah, jista' jwaqqaf il-kont tiegħek fi ftit sekondi. Ditta tas-sigurtà tal-kompjuter nhar l-Erbgħa żvelat difett li jista 'jħalli lill-hackers jidħlu f'kontijiet ta' messaġġi WhatsApp jew Telegram bl-użu tal-encryption maħsub biex jipproteġi messaġġi.
Dettalji Tekniċi - WhatsApp
Il-mekkaniżmu tal-fajl għat-tlugħ ta 'WhatsApp jappoġġja diversi tipi ta' dokumenti bħal Dokumenti tal-Uffiċċju, PDF, Fajls awdjo, Vidjows u immaġini. Kull wieħed mit-tipi appoġġati jista 'jittella' u jintbagħat lill-klijenti ta 'WhatsApp bħala sekwestru.
Madankollu, it-tim ta 'riċerka Check Point irnexxielu jevita r-restrizzjonijiet tal-mekkaniżmu billi tella' dokument HTML malizzjuż bi preview leġittimu ta 'immaġni sabiex iqarraq bi vittma biex tikklikkja fuq id-dokument sabiex tieħu f'idejha l-kont tiegħu. Ladarba l-vittma tikklikkja fuq id-dokument, il-klijent tal-web WhatsApp juża s-sejħa FileReader HTML 5 API biex jiġġenera BLOB URL uniku bil-kontenut tal-fajl mibgħut mill-attakkant imbagħad jinnaviga lill-utent għal dan il-URL.
Dettalji Tekniċi - Telegramma
Telegram jappoġġja tipi ta 'dokumenti multipli li għandhom jintbagħtu lill-applikazzjoni tal-Web Telegram, iżda l-uniċi tipi ta' immaġni u dokumenti tal-vidjo huma maħżuna fit-taqsima tal-Filesystem fil-browser.
Ir-riċerkaturi tal-Check Point irnexxielhom jevitaw il-politika ta 'upload ta' Telegram u jtellgħu dokument HTML malizzjuż b'tip mime ta 'video file "video / mp4". Imbagħad, kienu kapaċi jibagħtuha lin-naħa tal-vittma fi kanal kriptat permezz ta 'servers tat-telegramma. Ladarba l-vittma tiftaħ il-video f'tab tal-browser ġdid, din tibda tilgħab u d-dejta tas-sessjoni tal-utenti tintbagħat lill-attakkant.
Interessanti, hija l-karatteristika ta 'encryption end-to-end ta' dawn l-apps li kienet tgħin lill-hackers jieħdu vantaġġ mid-difett. Minħabba li l-kontenut taċ-chats huwa encrypted end-to-end, dan ifisser li la WhatsApp u lanqas Telegram ma setgħu jaraw il-malware moħbi f'immaġini malizzjuża kondiviża. Dan ifisser li ż-żewġ kumpaniji jkunu għomja għall-kontenut, u jippermettu li kodiċi malizzjuż jgħaddi 'l quddiem u lura bejn l-utenti.
Minn hawn 'il quddiem, il-kontenut jiġi vvalidat qabel il-kriptaġġ, jispjega Check Point, li jimblokka fajls malizzjużi. It-tim tal-Check Point jiddeskrivi wkoll ftit metodi biex jiġi żgurat li m'intix vittma ta 'tali hacks.
Ħjiel tas-Sigurtà tal-Punt tal-Iċċekkjar:
Filwaqt li WhatsApp u Telegramma rranġaw din il-vulnerabbiltà, bħala prattika ġenerali nirrakkomandaw il-miżuri preventivi li ġejjin:
1. Naddaf perjodikament il-kompjuters illoggjati mill-WhatsApp u t-Telegramma tiegħek. Dan jippermettilek tikkontrolla l-apparati li qed jospitaw il-kont tiegħek u tagħlaq attività mhux mixtieqa.
2. Evita li tiftaħ fajls u links suspettużi minn utenti mhux magħrufa.
Wara li rranġat dan id-difett, il-kontenut fuq il-verżjonijiet tal-web kemm ta 'WhatsApp kif ukoll ta' Telegram issa se jkun validat qabel ma tidħol fis-seħħ il-encryption end-to-end, li tippermetti l-imblukkar ta 'fajls malizzjużi.
