X
    Categories: Новости

Уязвимость WhatsApp — возможность взлома WEB-версии

Относительно недавно выявились уязвимости WhatsApp, Telegram и других веб-клиентов популярных чатов.

Когда WhatsApp внедрил end-to-end шифрование сообщений в прошлом году в свое приложение (насчитывающее более миллиарда пользователей, кстати), все стали говорить о начале новой эпохи безопасности социальных сетей.

Но пара новых нападений на веб-версии этих «безопасных» мессенджеров показывает, что всего несколько строк вредоносного кода могут подорвать даже самое воздухонепроницаемое шифрование.

Уязвимость WhatsApp — в чем суть?

Израильская компания, специализирующаяся на вопросах информационной безопасности Check Point показала новую технику, которая, по заявлению компании, может обойти end-to-end шифрование в WhatsApp, спрятав HTML-код в, на вид, безвредное изображение.

Если пользователь нажимает на него при использовании веб-версии приложения, в браузере жертвы запускается код , тем самым хакер получает полный доступ не только к сообщениям цели, но и к любым общим фотографиям и видеороликам, а также к списку контактов.

Check Point также произвела аналогичную атаку на веб-версию Telegram — еще одного приложения, которое использует сквозное шифрование — по словам исследователей, взлом произошел, скрывая вредоносный код в видеоролике.

Хотя обе компании исправили ошибки в свежих обновлениях, эта уязвимость могла оставить миллионы пользователей открытыми для криптоопасных шпионов. Исследователи информационной безопасности говорят, что атаки указывают на присущие уязвимости в веб-версиях любого безопасного мессенджера. Более безопасным считается использование приложений данного рода на смартфонах.

«К сожалению, это подчеркивает слабость, специфичную для веб-приложений», — говорит Надим Кобисси, основатель прикладной криптографической консалтинговой компании Symbolic Software.

Атаки Check Point использовали недостатки «входной проверки» файлов — процесса валидации загружаемых файлов как изображений или видеороликов, а не куска HTML-кода, который мог бы запускать потенциально опасные процессы в браузере жертвы.

Данная форма атаки применима к практически всем веб-ресурсам.

«Это форма атаки, в которой веб-приложения особенно уязвимы», утверждает Кобисси.

Он указывает, что в веб-браузере компоненты, ответственные за визуализацию различных типов данных — будь то изображения, видео или исполняемые команды — менее четки и изолированы, чем в обычной операционной системе. А веб-интерфейс JavaScript позволяет  «точно в срок» компилировать новый код, по существу, с получением новых данных.

Новые данные могут способствовать в процессе перезаписи кода и добавлении новых функциональных возможностей веб-приложений, тогда как мобильные или настольные приложения должны быть скомпилированы перед установкой.

«Вот почему эти уязвимости работают, и почему они подчеркивают определенную слабость веб-приложений», — говорит Кобисси.

Если хотите защитить себя в сети, по возможности отключайте возможность использования JavaScript.

Максим Борисюк:
Disqus Comments Loading...