В защищенных мессенджерах WhatsApp и Telegram пропатчена уязвимость, позволявшая захватить аккаунт и просматривать персональную и групповую переписку, в том числе фото, видео и другие файлы.

В среду в блоге Check Point была опубликована запись, в которой Эран Вакнин (Eran Vaknin), Роман Зайкин и Дикла Барда (Dikla Barda) подробно рассказали о найденной ими бреши в веб-версиях WhatsApp и Telegram. По мнению исследователей, причиной возникновения уязвимости является некорректность парсинга вложений. Эксплуатация бреши в обоих случаях осуществляется посредством отправки пользователю файла с вредоносным кодом. Если этот файл открыть, атакующий получит доступ к локальной памяти жертвы, а затем к ее личной переписке и фотографиям.

Механизм загрузки файлов WhatsApp поддерживает и передает на клиенты вложением несколько типов документов: Office, PDF, аудио, видео и графику. Исследователям удалось обойти это ограничение, внедрив во вредоносный HTML легитимное изображение для предварительного просмотра.

При открытии такого документа веб-клиент WhatsApp через вызов FileReader HTML 5 API генерирует уникальную ссылку на объект BLOB с содержимым присланного файла и направляет пользователя на этот URL. Жертве при этом отображается маскировочная картинка и BLOB — объект FileReader, размещенный на web.whatsapp.com, а тем временем атакующий получает доступ к ресурсам браузера (через web.whatsapp.com).

«Достаточно просто просмотреть страницу, даже кликать никуда не надо, и данные из локальной памяти окажутся у злоумышленника, что позволит ему захватить аккаунт, — поясняют Вакнин, Зайкин и Барда. — Автор атаки создает JavaScript-функцию, которая каждые две секунды проверяет наличие новых данных на бэкенд-сервере и заменяет содержимое локальной памяти данными от жертвы». После этого атакующий перенаправляется на аккаунт жертвы и сможет делать с ним все, что захочет.

WhatsApp воспринимает подобную ситуацию как вход одного и того же пользователя из двух разных мест и реагирует подсказкой: осуществить выход или остаться на связи. Исследователи смогли преодолеть это препятствие с помощью дополнительного JavaScript-кода.

WhatsApp prompt

Аналогичную атаку в Check Point провели против Telegram. Вредоносный HTML-документ, на сей раз с видеоданными MIME-типа (video/MP4), был успешно загружен на сервер в обход ограничений и затем отправлен «жертве» по шифрованному каналу. При открытии этого файла в новой вкладке браузера запустилось видео, содержимое локальной памяти попало к «атакующему», и JavaScript произвел подмену, позволившую захватить аккаунт. Исследователи не преминули отметить, что Telegram, в отличие от WhatsApp, позволяет одновременно использовать множество сессий под одним аккаунтом, поэтому жертва даже не заметит угон.

Представители Telegram усомнились в правильности выводов Check Point, заявив, что успешная атака на их мессенджер «потребует особых условий и очень необычных действий от атакуемого пользователя». Чтобы скомпрометировать аккаунт, пользователя придется убедить кликом включить проигрыватель видео, а затем, тоже кликом, открыть его в новой вкладке. Кроме того, подобная атака, по мнению компании, возможна лишь на Chrome. После этого заявления Check Point подкорректировала свою блог-запись, добавив фразу об открытии видео в новой вкладке браузера.

Когда WhatsApp и Telegram пропатчили уязвимость, точно неизвестно, но произошло это очень быстро. Check Point разослала им уведомления 7 марта. Обе компании, по словам исследователей, «произвели проверку и подтвердили нарушение безопасности, а вскоре после этого создали патч для веб-клиентов, расположенных по всему миру».

Категории: Уязвимости

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *