Миллионы аккаунтов WhatsApp и Telegram под угрозой
Главная » Новости

Миллионы аккаунтов WhatsApp и Telegram под угрозой

Александр Панасенко 15 Марта 2017 - 17:31
...
Миллионы аккаунтов WhatsApp и Telegram под угрозой

Check Point обнаружили новую уязвимость в онлайн-платформах популярных мессенджеров WhatsApp и Telegram — WhatsApp Web и Telegram Web. Используя эти уязвимости, злоумышленники могли полностью завладеть аккаунтом жертвы и получить доступ к ее персональным и групповым перепискам, фото, видео и другим переданным файлам, контактам и так далее.

Уязвимость позволяет хакерам отправить жертве вредоносный код, зашитый в безобидную с виду картинку. Как только пользователь кликает на изображение, злоумышленник получает полный доступ к хранящимся данным пользователя WhatsApp или Telegram, что дает ему контроль над аккаунтом жертвы. Затем хакер может разослать вредоносный файл всем контактам жертвы — это позволяет организовать масштабную атаку.

«Эта новая уязвимость подвергла риску полного захвата аккаунты миллионов пользователей WhatsApp Web и Telegram Web, — говорит Одед Вануну, глава подразделения Check Point Software Technologies по исследованиям и поиску уязвимостей. — Всего лишь отправив невинное с виду фото, злоумышленник мог получить контроль над аккаунтом, доступ к истории сообщений, всем фото, которые были отправлены и получены, и отправлять сообщения от имени пользователя».

Check Point передал эту информацию в отделы по безопасности WhatsApp и Telegram 8 марта 2017 года. WhatsApp и Telegram признали проблему и разработали исправление для веб-клиентов по всему миру. «К счастью, WhatsApp и Telegram отреагировали быстро и серьезно подошли к разработке мер против использования этой уязвимости в веб-клиентах», — говорит Одед Вануну. Пользователям WhatsApp и Telegram, которые хотят убедиться, что используют последнюю версию, рекомендуется перезапустить браузер.

WhatsApp и Telegram используют сквозное шифрование сообщений в качестве меры защиты данных, благодаря которому только непосредственные участники переписки могут читать сообщения, и никто не вторгается в их процесс коммуникации. Однако это сквозное шифрование и стало источником уязвимости. Так как сообщения были зашифрованы со стороны отправителя, WhatsApp и Telegram не могли определить качество контента. Соответственно, они не могли предотвратить отправку вредоносного кода. После закрытия этой уязвимости контент теперь проверяется до шифровки, что позволяет блокировать вредоносные файлы.

Обе веб-версии отображают все сообщения, которые были отправлены и получены через мобильное приложение, и полностью синхронизированы с устройствами пользователя. 

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ФСТЭК России не рекомендовала использовать AOSP на объектах КИИ
Яков Шпунт 24 Февраля 2025 - 14:13
Android Соответствие законодательству РФ КорпорацииГосударство Защита критически важных объектовСоответствие требованиям регуляторов
ФСТЭК России не рекомендовала использовать AOSP на объектах КИИ

ФСТЭК России в ответ на запрос Ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт» сообщила, что мобильные операционные системы, основанные на Android Open Source Project (AOSP), несут потенциальные риски при использовании в российских госкорпорациях и на объектах критической информационной инфраструктуры (КИИ).

AOSP представляет собой версию ОС Android с открытым кодом, но без сервисов Google. На ее основе разработаны мобильные операционные системы многих вендоров, включая российские.

В частности, на базе AOSP создана kvadraOS, установленная на планшеты KVADRA_T производства холдинга KVADRA, а также Ред ОС М, код которой, как заявляли разработчики, был существенно переработан.

По мнению ФСТЭК, использование AOSP связано с рядом рисков:

  • наличие большого количества уязвимостей,
  • отсутствие технической поддержки AOSP в России,
  • потенциальные недекларированные возможности,
  • открытый исходный код проекта.

«Учитывая изложенное, использование операционных систем на базе Android Open Source Project (AOSP) на объектах критической информационной инфраструктуры и в государственных корпорациях считаем нецелесообразным», — говорится в письме, подписанном начальником 8-го управления ФСТЭК России Еленой Торбенко. Текст документа оказался в распоряжении ТАСС.

Глава комитета АРПП по развитию экосистемы российских мобильных продуктов Олег Карпицкий прокомментировал ответ ФСТЭК России:

«Российским компаниям и государственным организациям важно не только избегать уязвимых решений, но и поддерживать развитие отечественных мобильных платформ, способных обеспечить безопасность и соответствие регуляторным требованиям».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В магазине Softline появится сканер безопасности Security Vision
Новость
В магазине Softline появится сканер безопасности Security Vi...
reCAPTCHA — не преграда для ботов, зато собирает кучу данных о юзерах
Новость
reCAPTCHA — не преграда для ботов, зато собирает кучу данных...
Пользователи МТС массово жалуются на проблемы с личным кабинетом
Новость
Пользователи МТС массово жалуются на проблемы с личным кабин...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.