Одна из наиболее тревожных утечек, проистекающих из недавней публикации WikiLeaks, - это возможность того, что правительственные организации могут взломать WhatsApp, Telegram и другие приложения чата с сквозным шифрованием. Хотя это еще предстоит доказать, многие конечные пользователи обеспокоены сквозным шифрованием WhatsApp и Telegram, чтобы гарантировать конфиденциальность пользователей. Это шифрование предназначено для того, чтобы гарантировать, что только общающиеся люди могут читать сообщения и никто другой между ними.
Но этот же механизм стал источником новой уязвимости, которую мы обнаружили в обеих онлайн-платформах службы обмена сообщениями WhatsApp Web и Telegram Web. Онлайн-версия этих платформ отражает все сообщения, отправленные и полученные пользователем, и полностью синхронизируются с устройством пользователя.
Эта уязвимость, в случае ее использования, позволила бы злоумышленникам полностью захватить учетные записи пользователей в любом браузере и получить доступ к личным и групповым беседам жертв, фотографиям, видео и другим общим файлам, спискам контактов и многому другому. Это означает, что злоумышленники могут загрузить ваши фотографии и опубликовать их в Интернете, отправить сообщения от вашего имени, потребовать выкуп и даже захватить учетные записи ваших друзей.
Итак, в следующий раз, когда кто-то отправит вам фотографию милого кота или горячего цыпленка в WhatsApp или Telegram, будьте осторожны, прежде чем нажимать на изображение для просмотра, это может взломать вашу учетную запись в течение нескольких секунд. В среду компания по компьютерной безопасности обнаружила уязвимость, которая может позволить хакерам взломать учетные записи обмена сообщениями WhatsApp или Telegram, используя шифрование, предназначенное для защиты сообщений.
Технические детали - WhatsApp
Механизм загрузки файлов WhatsApp поддерживает несколько типов документов, таких как офисные документы, PDF, аудиофайлы, видео и изображения. Каждый из поддерживаемых типов можно загрузить и отправить клиентам WhatsApp в виде вложения.
Однако исследовательской группе Check Point удалось обойти ограничения механизма, загрузив вредоносный HTML-документ с законным предварительным просмотром изображения, чтобы обмануть жертву, нажав на документ, чтобы получить доступ к своей учетной записи. Как только жертва нажимает на документ, веб-клиент WhatsApp использует вызов FileReader HTML 5 API для создания уникального URL-адреса BLOB с содержимым файла, отправленного злоумышленником, а затем переходит к пользователю по этому URL-адресу.
Технические детали - Telegram
Telegram поддерживает несколько типов документов для отправки в веб-приложение Telegram, но только типы документов изображений и видео хранятся в разделе файловой системы браузера.
Исследователям Check Point удалось обойти политику загрузки Telegram и загрузить вредоносный HTML-документ с mime-типом видеофайла «video / mp4». Затем они смогли отправить его стороне жертвы по зашифрованному каналу через серверы Telegram. Как только жертва откроет видео в новой вкладке браузера, оно начнет воспроизводиться, и данные сеанса пользователя будут отправлены злоумышленнику.
Интересно, что именно функция сквозного шифрования этих приложений помогла бы хакерам воспользоваться этим недостатком. Поскольку содержимое чатов зашифровано сквозным шифрованием, это означает, что ни WhatsApp, ни Telegram не могут увидеть вредоносное ПО, скрытое в совместно используемом вредоносном изображении. Это означает, что обе компании будут слепы к контенту, позволяя передавать вредоносный код между пользователями.
В дальнейшем, как поясняет Check Point, контент будет проверяться перед шифрованием, что позволит блокировать вредоносные файлы. Команда Check Point также предлагает несколько методов, чтобы убедиться, что вы не являетесь жертвами таких взломов.
Советы по безопасности Check Point:
Хотя WhatsApp и Telegram устранили эту уязвимость, в качестве общей практики мы рекомендуем следующие превентивные меры:
1. Периодически очищайте компьютеры, на которых выполнен вход, из своего WhatsApp и Telegram. Это позволит вам контролировать устройства, на которых размещена ваша учетная запись, и отключать нежелательную активность.
2. Избегайте открытия подозрительных файлов и ссылок от неизвестных пользователей.
После исправления этого недостатка контент в веб-версиях WhatsApp и Telegram теперь будет проверяться до того, как вступит в действие сквозное шифрование, позволяющее блокировать вредоносные файлы.
