Израильские инженеры предупреждают о критической уязвимости WhatsApp и Telegram
Популярные сервисы оказались беззащитны перед взломом, что грозило крупными неприятностями
По словам специалистов из Check Point, уязвимость позволяла завладеть чужими аккаунтам в считанные секунды – речь идет о сотнях миллионов пользователей по всему миру. Для осуществления взлома требовалось всего лишь отправить пользователю невинную на вид картинку.
Картинка содержала вредоносный код, и как только пользователь открывал ее, хакер получал полный контроль над его аккаунтом, и далее мог рассылать изображение с вредоносным кодом людям из его списка контактов – и соответственно получать доступ к их аккаунтам.
Уязвимость была обнаружена неделю назад. Еще в прошлую среду, 8 марта, Check Point уведомил о ней отделы безопасности WhatsApp и Telegram. По сообщению Watsapp, в течение 24 часов баг был исправлен, а безопасность для всех пользователей восстановлена. Telegram подтвердил устранение багов несколько дней спустя.
Так в чем же конкретно была уязвимость? Check Point поясняет, что оба мессенджера используют в качестве защиты метод шифрования end-to-end, при котором ключи, необходимые для шифрования и расшифровки передаваемых сообщений, хранятся исключительно у участников переписки. Специалисты компании Check Point Эран Вакнин, Роман Зайкин и Дикла Барда обнаружили, что именно шифровка является слабым местом в защите, так как шифрование происходит в момент отправки, и соответственно WhatsApp и Telegram сами не имели доступа к содержимому пересылаемого файла, и не имели возможности блокировать их вредоносное содержимое.
После внесение необходимых изменений, файлы перед отсылкой будут проходить проверку на содержание вредоносного кода еще до шифровки.
