В WhatsApp и Telegram обнаружена уязвимость: хакеры могли увести миллионы аккаунтов с помощью всего 1 фото

Если вы пользуетесь веб-версией WhatsApp или Telegram в браузере, то стоит закрыть его и открыть снова, чтобы хакеры не смогли украсть ваш аккаунт. Группа исследователей из Check Point, компании, занимающейся кибербезопасностью, сообщает, что веб-версии популярных приложений-мессенджеров со сквозным шифрованием содержат уязвимость, которая позволяет хакерам получить доступ к аккаунтам пользователей и, следовательно, украсть их для последующего использования в своих целях.

Кража аккаунта WhatsApp или Telegram означает, что «угонщик» сможет загрузить все ваши фото и опубликовать их в открытом доступе, отправлять от вашего имени сообщения, потребовать «выкуп» за аккаунт или шантажировать полученной информацией, и даже украсть аккаунты ваших друзей. Так поясняют опасности кражи аккаунта в Telegram, WhatsApp или другом мессенджере исследователи из Check Point.

Выводы исследования Check Point опубликованы в тяжелые времена для приложений, использующих шифрование сообщений. Мессенджеры попали под огонь профильных СМИ после того, как выяснилось, что сервисы содержат те или иные уязвимости. Приложения типа WhatsApp, Telegram, Viber, Signal и другие используют т.н. сквозное шифрование, гарантирующее, что содержимое сообщения может прочитать только его отправитель и получатель.

И хотя пара недавних заявлений об уязвимостях в приложениях с шифрованием были раскритикованы экспертами по компьютерной безопасности, назвавшими их либо неверными, либо преувеличенными, пользователи все равно встревожены исследованиями вроде отчета Check Point.

Специалисты Check Point уверяют, что смогли получить доступ к аккаунту в WhatsApp, отослав его владельцу фотографию с вредоносным кодом. Если владелец аккаунта заходит в него через веб-браузер и кликает на фото, то пославший фото человек получает полный доступ к учетной записи получателя изображения.

Взлом Telegram оказался немногим более сложным. Исследователи показали, что они могут отослать видеофайл потенциальной жертве, содержащий вредоносный код. Взлом оказывается успешным, если пользователь зашел в свой аккаунт через браузер, кликнул на кнопку «проиграть видео» и открыл его в другой вкладке браузера.

Оба мессенджера уже закрыли брешь в веб-версии своих сервисов, доступных через обычные браузеры. Причиной взлома стал тот факт, что коммуникационные сервисы, зашифровывали и отсылали файлы не проверяя их на наличие вредоносного кода. В результате WhatsApp и Telegram оперировали контентом «вслепую», позволяя отсылать злоумышленникам вредоносный код, замаскированный в невинных сообщениях с фото или видео.

«Мы создали WhatsApp для защиты людей и их информации», - поясняет мессенджер в официальном ответе, - «Когда Check Point сообщили о способах взлома сервиса через веб-версию, мы в течение дня устранили ее и выпустили обновленное веб-приложение WhatsApp для браузеров».

Telegram также сообщил о решении проблемы, однако раскритиковал заявление Check Point. Назвав исследователей «безответственными», компания сообщила, что вряд ли пользователь совершит те действия, которые необходимы для взлома аккаунта.

«Атака Telegram для успеха требует соблюдения очень специфических условий и очень необычных действий потенциальной жертвы», - поясняет компания. Telegram также отвергает заявление Check Point о том, что взлом работает в любом браузере – уязвимость существует только в веб-версии мессенджера для Chrome.

«Конечно же, мы незамедлительно устранили уязвимость в Telegram, обнаруженную Check Point», - успокаивает пользователей популярного мессенджера его создатели.

Мессенджеры, использующие шифрование сообщений, не впервые попадают под критику из-за найденных уязвимостей.

Ранее в этом месяце WikiLeaks заявила, что агенты государственных спецслужб могли получить доступ к сообщениям в WhatsApp, Telegram и похожему сервису Signal. Однако, разработчики приложений тут же заявили, что шифрование в них по-прежнему работает и сообщения передаются по Интернету в зашифрованном виде.

В январе исследователь из калифорнийского университета Беркли заявил, что нашел «черный ход» к сообщениями в WhatsApp. Однако компания заявила, что он был оставлен намеренно в ходе проектировки сервиса и не будет использован для перехвата сообщений пользователей по поручению правительств ни в одной стране мира.

Check Point пока никак не прокомментировал заявление Telegram о специфических условиях выполнения взлома мессенджера через веб-версию приложения.

Другие новости по теме:

• Инки против Чернобыля - новый блокбастер от Attack Software
• Yahoo выпускает бета-версию модернизированного Messenger
• "Тиграми не рождаются" - новогоднее поздравление Евросети
• Samsung Wave станет первым телефоном на платформе bada (фото)
• Мастер-класс МегаФона и Анжи в Махачкале

Постоянный адрес публикации: http://www.procontent.ru/news/30782.html