Уязвимост в WhatsApp и Telegram дава възможност на хакерите да манипулират наши файлове

4
651

Symantec разкри, че изследователите на фирмата са открили уязвимост в приложенията на WhatsApp и Telegram, която позволява манипулация на файловете, които се прехвърлят между потребители.

Слабото място е в това, че приложенията могат автоматично да запазват файлове в устройствата ни. При наличието на malware на устройството, който има достъп до мястото за съхранение, хакерите имат прозорец, в който могат да застанат между потребителите, които си изпращат някакви файлове и да ги манипулират. От Symantec дават име на атаката „Media File Jacking”.

Във видео показват, как хакер може да промени дадено изображение. В примера е показано как лицата на снимка са подменени с лицето на актьора Никълъс Кейдж.

Разбира се, дупката може да се използва и за по-сериозни вреди.

„Един от по-опасните сценарии е атакуващите да променят фактура, която търговец изпраща на свой клиент, за да насочат парите към себе си.“, обясняват от Symantec.

Друга хипотетична възможност е хакерите да сеят дезинформация в Telegram канали, в които има огромен брой хора.

От Symantec дават няколко препоръки към разработчиците как да променят валидацията на файловете и запазването им, за да се елиминира уязвимостта.

От Business Insider цитират говорител на WhatsApp, който твърди, че в приложението се използват най-добрите практики. Прилагането на препоръките щяло да създаде проблеми с поверителността и да ограничи начина, по който снимки и файлове биват споделяни.

Към момента от Telegram не са направили изявление по въпроса.

От Symantec съветват потребителите да се предпазят, като ограничат възможностите на приложенията да запазват файлове. При WhatsApp това става от Settings/Chats/Media Visibility, а при Telegram от Settings/Chat Settings/Save to Gallery.

Още примери и подробности за това как се случва атаката, може да видите в блог публикацията на Symantec – ТУК.

4
ДОБАВИ КОМЕНТАР

avatar
3 Коментари
1 Отговори на коментарите
3 Последователи
 
Коментарът с най-много реакции
Най-горещият коментар
  Абонирай се  
нови стари оценка
Извести ме за
boot
boot

Не! Не може да е възможно! Уязвимост в Telegram и WhatsApp едновременно? Това е като да се спука презерватив в за***ка на „пазител“ на хетеросексуалността. Най-издъненото приложение с най-издъненият собственик да има същата уязвимост като Телеграм? Дуров сигорно си пише завещанието

шофер
шофер

Проблема и при двете апликации се корени в това, че по подразбиране запазват медийните файлови на допълнителната памет. Която пък android не подсигурява по някаква причина (не могат, не искат…). Така че пии валидола и се успокой, няма директна връзка/корелация между кода на двете апликации и няма конспирация около Telegram. Просто разработчиците трябва да прилагат по-строги стандарти за андроид приложенията, че там продължава да е разграден двор..

Ратнемок
Ратнемок

От преди 2 години и половина

„https://www.kaldata.com/it-%d0%bd%d0%be%d0%b2%d0%b8%d0%bd%d0%b8/%d0%b5%d0%ba%d1%81%d0%bf%d0%b5%d1%80%d1%82%d0%b8-%d1%81%d0%b0-%d0%be%d1%82%d0%ba%d1%80%d0%b8%d0%bb%d0%b8-%d1%83%d1%8f%d0%b7%d0%b2%d0%b8%d0%bc%d0%be%d1%81%d1%82-%d0%b2-whatsapp-%d0%b8-telegram-241338.html“

шофер
шофер

Само за Андроид важи това, хората с iOS не са засегнати.