| 15 марта 2017 г. — 8:47 PT
Обновление: Telegram выпустил заявление об исправлении уязвимости.
A critical security flaw was exposed in WhatsApp today, some media wrongly claimed Telegram had the same issue. No: https://t.co/HwDLbiBvZS
— Telegram Messenger (@telegram) March 15, 2017
Недавно обнаруженная уязвимость, раскрытая Check Point, показала, что и WhatsApp, и Telegram были подвержены особенно злонамеренным онлайн-атакам. В то время как большинство атак позволяли получить лишь обрывки пользовательских данных, эти позволяли злоумышленникам получить полный контроль над учетными записями пользователей. Попав внутрь, злоумышленники могли загружать ранее отправленные фотографии, контактную информацию и, что более важно, получать доступ к учетным записям друзей пользователя. Обе компании признали проблему и выпустили исправления для защиты уязвимостей веб-клиента.
На прошлой неделе WikiLeaks сообщила, что ЦРУ имеет активную команду, работающую над вредоносным ПО и уязвимостями iOS. Большая часть новостей была посвящена социальным сетям и известным мессенджерам, которые уже были скомпрометированы и находились под наблюдением ЦРУ. После того, как первоначальный шок утих, стало ясно, что неправильная формулировка со стороны WikiLeaks не означала, что клиенты действительно были скомпрометированы. Хотя это помогло развеять часть опасений, сегодняшнее раскрытие информации от Check Point показывает, что веб-клиенты по-прежнему небезопасны.
В новом раскрытии Check Point объясняет, как им удалось создать злонамеренно безобидный файл для полного захвата учетных записей пользователей WhatsApp и Telegram. Подделав MIME-тип и создав HTML-файл для предварительного просмотра изображения, злоумышленники могли заставить пользователей нажать на их общий контент, что приводило к полному захвату учетных записей.
Демонстрационные видео, опубликованные Check Point, демонстрируют, насколько быстро и беспрепятственно происходят атаки. Как только жертва нажимает на файл и загружает данные, злоумышленник оказывается внутри учетной записи и может начать собирать данные по своему усмотрению.
После захвата учетной записи пользователи WhatsApp почти мгновенно получали уведомление о том, что WhatsApp открыт на другом компьютере или в браузере. Пользователи Telegram даже не получали уведомления, поскольку Telegram позволяет одновременно открывать несколько сессий в браузере. Полный технический разбор вы найдете на сайте Check Point.
Эта уязвимость может быть исправлена WhatsApp и Telegram, но это не означает, что новые не появятся в будущем. Чтобы защитить себя от подобных уязвимостей, никогда не нажимайте на общий контент от неизвестных отправителей.