WhatsApp и Telegram взломали одним файлом — видео

Компания Check Point, специализирующаяся на информационной безопасности, сообщила в своем блоге о том, что популярные мессенджеры WhatsApp и Telegram содержат опасные уязвимости, используя которые злоумышленник может получить контроль над аккаунтом жертвы. Для этого хакеру достаточно прислать жертве безобидный на вид файл (например, картинку), содержащий в себе вредоносный код, и заставить пользователя этот файл открыть.

Два видео с демонстрацией работы эксплойта, посредством которого злоумышленник получает контроль над чужим аккаунтом, опубликованы на YouTube-канале CheckPoint. В первом видео (вверху) показан захват аккаунта в WhatsApp, а во втором (внизу) — в Telegram.

В свою очередь представители Telegram уже опровергли это сообщение, заявив, что уязвимость касается только мессенджера WhatsApp и не затрагивает Telegram. Соответствующее разъяснение опубликовано в блоге Telegram. Как утверждают представители мессенджера, компания Check Point ввела СМИ в заблуждение с целью самопиара.

16.03.2017
https://news.softodrom.ru/ap/b27561.shtml​

 

Брешь в WhatsApp и Telegram грозила угоном аккаунта

В защищенных мессенджерах WhatsApp и Telegram пропатчена уязвимость, позволявшая захватить аккаунт и просматривать персональную и групповую переписку, в том числе фото, видео и другие файлы.

В среду в блоге Check Point была опубликована запись, в которой Эран Вакнин (Eran Vaknin), Роман Зайкин и Дикла Барда (Dikla Barda) подробно рассказали о найденной ими бреши в веб-версиях WhatsApp и Telegram. По мнению исследователей, причиной возникновения уязвимости является некорректность парсинга вложений. Эксплуатация бреши в обоих случаях осуществляется посредством отправки пользователю файла с вредоносным кодом. Если этот файл открыть, атакующий получит доступ к локальной памяти жертвы, а затем к ее личной переписке и фотографиям.

Механизм загрузки файлов WhatsApp поддерживает и передает на клиенты вложением несколько типов документов: Office, PDF, аудио, видео и графику. Исследователям удалось обойти это ограничение, внедрив во вредоносный HTML легитимное изображение для предварительного просмотра.

При открытии такого документа веб-клиент WhatsApp через вызов FileReader HTML 5 API генерирует уникальную ссылку на объект BLOB с содержимым присланного файла и направляет пользователя на этот URL. Жертве при этом отображается маскировочная картинка и BLOB — объект FileReader, размещенный на web.whatsapp.com, а тем временем атакующий получает доступ к ресурсам браузера (через web.whatsapp.com).

«Достаточно просто просмотреть страницу, даже кликать никуда не надо, и данные из локальной памяти окажутся у злоумышленника, что позволит ему захватить аккаунт, — поясняют Вакнин, Зайкин и Барда. — Автор атаки создает JavaScript-функцию, которая каждые две секунды проверяет наличие новых данных на бэкенд-сервере и заменяет содержимое локальной памяти данными от жертвы». После этого атакующий перенаправляется на аккаунт жертвы и сможет делать с ним все, что захочет.

WhatsApp воспринимает подобную ситуацию как вход одного и того же пользователя из двух разных мест и реагирует подсказкой: осуществить выход или остаться на связи. Исследователи смогли преодолеть это препятствие с помощью дополнительного JavaScript-кода.



Аналогичную атаку в Check Point провели против Telegram. Вредоносный HTML-документ, на сей раз с видеоданными MIME-типа (video/MP4), был успешно загружен на сервер в обход ограничений и затем отправлен «жертве» по шифрованному каналу. При открытии этого файла в новой вкладке браузера запустилось видео, содержимое локальной памяти попало к «атакующему», и JavaScript произвел подмену, позволившую захватить аккаунт. Исследователи не преминули отметить, что Telegram, в отличие от WhatsApp, позволяет одновременно использовать множество сессий под одним аккаунтом, поэтому жертва даже не заметит угон.

Представители Telegram усомнились в правильности выводов Check Point, заявив, что успешная атака на их мессенджер «потребует особых условий и очень необычных действий от атакуемого пользователя». Чтобы скомпрометировать аккаунт, пользователя придется убедить кликом включить проигрыватель видео, а затем, тоже кликом, открыть его в новой вкладке. Кроме того, подобная атака, по мнению компании, возможна лишь на Chrome. После этого заявления Check Point подкорректировала свою блог-запись, добавив фразу об открытии видео в новой вкладке браузера.

Когда WhatsApp и Telegram пропатчили уязвимость, точно неизвестно, но произошло это очень быстро. Check Point разослала им уведомления 7 марта. Обе компании, по словам исследователей, «произвели проверку и подтвердили нарушение безопасности, а вскоре после этого создали патч для веб-клиентов, расположенных по всему миру».

17/03/2017
http://threatpost.ru/whatsapp-telegram-vulnerabilities-exposed-users-to-account-takeover/21041/​

 

не понимаю настолько надо быть полным долбаебом, чтобы следовать "тяжелым инструкциям по звонку/смс", чтобы дать злоумышленнику воспользоваться какой-то дырявой хуетой, когда любая проверка звонком (в том числе и голосом) разрушит любой развод. впрочем дебилам оно пойдет на пользу и на пикабушечке будет новая волна постов о полных идиотах.

 

Так Дуров вроде 200 или 300 штук американских рублей обещал , заплатил ?
Мессенджер Telegram, созданный основателем «ВКонтакте» Павлом Дуровым, объявил о конкурсе, в котором необходимо взломать переписку двух ботов. Тому, кто сумеет это сделать, представители компании обещают $300 000. Об этом сообщается на официальном сайте Telegram.

 

Они разве переписку тех двух ботов вскрыли, схерали им Павлик платить будет?