Исследователь рассказал об уязвимостях в WhatsApp, которые позволяли читать файлы с ПК

Более 1,5 миллиардов человек в более чем 180 странах используют WhatsApp, приложение для обмена сообщениями, принадлежащее Facebook. Средний пользователь проверяет WhatsApp более 23 раз в день. А число пользователей приложения в США по прогнозам возрастёт до 25,6 миллионов к 2021 году.

Учитывая, сколько там все болтают, потенциал для онлайн-мошенничества, слухов и фальшивых новостей огромен. У злоумышленников в арсенале есть дополнительное оружие, позволяющее использовать платформу обмена сообщениями для своих злых планов.

В конце 2018 года Check Point Research уведомила WhatsApp о новых уязвимостях в приложении, которые позволят злоумышленникам перехватывать и обрабатывать сообщения, отправленные как в личных, так и в групповых беседах, давая возможность создавать и распространять дезинформацию от казалось бы доверенных источников.

Исследовательская группа Check Point Research обнаружила три возможных атаки, использующих эту уязвимость, каждая из которых включает в себя тактику социальной инженерии, чтобы обмануть конечных пользователей. Злоумышленник может:

1. Использовать функцию «цитата» в групповом разговоре, чтобы изменить личность отправителя, даже если этот человек не является членом группы.
2. Изменить текст чьего-либо ответа, по сути, говоря за другого человека.
3. Отправить личное сообщение, замаскированное под сообщение для всех участников чата, конкретному участнику группы, поэтому, когда эта «жертва» отвечает, её ответ становится видимым для всех в беседе.

WhatsApp исправил 3-ю уязвимость. Но группа Check Point Research обнаружила, что всё ещё возможно манипулировать цитируемыми сообщениями и распространять дезинформацию от, казалось бы, надёжных источников.

Хакатон DemHack 2

20–21 марта, Онлайн, Беcплатно

tproger.ruСобытия и курсы на tproger.ru

Следуя правилам Ответственного раскрытия информации, Check Point Research проинформировала WhatsApp о своих выводах. С точки зрения Check Point Research эти уязвимости имеют огромное значение и требуют внимания.

Чтобы продемонстрировать серьёзность этой уязвимости в WhatsApp, был создан инструмент, который позволяет расшифровывать связь WhatsApp и подделывать сообщения.

Как известно, мессенджер шифрует каждое отправляемое вами сообщение, изображение, вызов, видео или любой другой тип контента, чтобы его мог видеть только получатель. WhatsApp не имеет возможности просматривать эти сообщения.

Зашифрованный чат WhatsApp

Эти процессы шифрования привлекли внимание, и Check Point Research решили попробовать изменить алгоритм WhatsApp для расшифровки данных. Действительно, после расшифровки связи WhatsApp было обнаружено, что WhatsApp использует для этого «протокол protobuf2».

Преобразовав данные protobuf2 в Json, Check Point Research смогли увидеть фактические отправленные параметры и манипулировать ими, чтобы проверить безопасность WhatsApp.

Результатом исследования группы Check Point Research является расширение Burp Suite и три метода атаки (третья уязвимость была исправлена, поэтому в статье будет описано две атаки).

Однако, чтобы начать атаку, сначала нужно получить закрытый и открытый ключ сеанса и заполнить соответствующие поля в расширении burpsuit.

Получение ключей

Ключи можно получить на этапе генерации ключей в WhatsApp Web до создания QR-кода:

Открытый и закрытый ключи сообщения

После того, как были взяты эти ключи, нужно выбрать «секретный» параметр, который отправляется мобильным телефоном в WhatsApp Web, пока пользователь сканирует QR-код:

«Секретный» ключ от WebSocket

В результате чего расширение будет выглядеть так:

Расширение Burp Suit — WhatsApp Decoder

После нажатия «Connect» расширение подключается к локальному серверу расширения, который выполняет все необходимые задачи.

Манипулирование WhatsApp

Расшифровав связь WhatsApp, Check Point Research смогли увидеть все параметры, которые фактически передаются между мобильной версией WhatsApp и веб-версией. Это позволило манипулировать ими и начать искать проблемы безопасности.

Это привело к тому, что было осуществлено множество типов атак, описанных ниже.

Атака 1. Изменение личности отправителя в групповом чате, даже если он не является членом группы

Зашифрованная связь в WhatsApp

После захвата трафика он может просто отправить его на расширение, которое затем расшифрует трафик:

Расшифровка сообщения WhatsApp с помощью расширения

Ключевые параметры:

• conversation — контент, который отправляется;
• participant — участник, который послал контент;
• fromMe — этот параметр указывает, отправил ли я данные или кто-то другой в группе;
• remoteJid — этот параметр указывает, в какую группу или контакт отправляются данные;
• id — идентификатор данных. Тот же идентификатор появится в телефонных базах данных.

И в этот момент начинают происходить интересные вещи…

Например, появляется возможность изменить сообщение на что-то другое. Например, сообщение с содержанием «Great!», отправленное членом группы, можно изменить на что-то ещё, например: «I’m going to die, in a hospital right now!», — а параметр участника также можно изменить на кто-то ещё из группы:

Поддельное ответное сообщение

Обратите внимание, что идентификатор нужно изменить на что-то другое, потому что он появился в базе данных, так как сообщение было отправлено.

Чтобы все увидели новое поддельное сообщение, злоумышленнику необходимо ответить на сообщение, которое он подделал, процитировав и изменив это сообщение («Great»), чтобы оно было отправлено всем в группе.

Как вы можете видеть на скриншоте ниже, была создана новая группа, где ещё никто не писал сообщений, и с помощью способа, описанного выше, был создан фальшивый ответ.

Исходный разговор

Параметр participant может быть текстом или номером телефона человека, которого нет в группе, что заставит всех в группе поверить, что оно действительно отправлено этим участником.

Например:

Изменение содержимого сообщения с помощью инструмента отладки

Результат будет следующим:

Это снова будет отправлено всем в группе, как и раньше.

Ответ на сообщение, отправленное кем-то вне группы

Атака 2. Изменение текста чьего-либо ответа

В этой атаке злоумышленник может манипулировать чатом, отправляя сообщения самому себе от имени другого человека, как если бы оно пришло от него. Таким образом, можно было бы обвинить человека или заключить мошенническую сделку.

Чтобы подделать сообщение, нужно изменить в нём параметр «fromMe», который указывает, кто отправил сообщение в личном чате.

На этот раз исходящее сообщение было получено из WhatsApp Web ещё до того, как было отправлено в Burp Suite. Для этого нужно поставить точку останова на функцию aesCbcEncrypt и получить данные из параметра «a»:

Манипуляция исходящими сообщениями

Затем эти данные были скопированы в Burp Suite и выбрано исходящее направление. При нажатии на «Расшифровать», расширение расшифрует данные:

Расшифровка исходящего сообщения

После изменения его на false и обратного шифрования был получен следующий результат:

Шифрование исходящего сообщения

Затем нужно изменить параметр «а» в браузере, и результатом будет push-уведомление с содержимым. Таким образом, можно подменить даже весь чат.

Отправка сообщения самому себе от лица кого-то другого

И тогда диалог будет выглядеть следующим образом:

Отправка сообщения самому себе от лица кого-то другого

Вывод

Ещё одна ситуация, которая демонстрирует, что стоит внимательнее относиться к казалось бы даже самым проверенным источникам информации в интернете. Ведь WhatsApp так и не поправили последние две уязвимости, которые достаточно просты в реализации.

Не смешно? А здесь смешно: @ithumor

Перевод статьи «Black Hat 2019 – WhatsApp Protocol Decryption for Chat Manipulation and More»

Рекомендуем почитать:

Xakep #262. ROPETWO

Издание The Hacker News сообщает, что мессенджере WhatsApp недавно устранили критическую ошибку, при помощи которой злоумышленникам могли удаленно скомпрометировать устройство и похитить защищенные сообщения чата и файлы.

Уязвимость имеет идентификатор CVE-2019-11931 и представляет собой проблему переполнения буфера стека. Ошибка возникала из-за того, как WhatsApp парсил элементарный поток метаданных в файлах MP4. Это давало злоумышленникам возможность осуществить DoS-атаку или удаленно выполнить произвольный код.

Все, что требовалось для удаленной эксплуатации бага – знать телефонный номер цели и  отправить ей через WhatsApp вредоносный файл MP4. Такой файл мог приводить к автоматической установке бэкдора или шпионского приложения на скомпрометированное устройство, фактически передавая контроль в руки атакующих.

Уязвимость затрагивала WhatsApp для всех основных платформ, включая Google Android, Apple iOS и Microsoft Windows. По информации компании Facebook, которой принадлежит мессенджер, список уязвимых версий выглядит следующим образом:

• Android версии до 2.19.274
• iOS версии до 2.19.100
• Enterprise Client версии до 2.25.3
• Windows Phone версии до 2.18.368 включительно
• Business for Android версии до 2.19.104
• Business for iOS версии до 2.19.100

Пока неизвестно, использовалась ли данная уязвимость злоумышленниками до того, как разработчики выпустили обновление. Но журналисты отмечают, что проблема во многом похожа на другую недавно обнаруженную в WhatsApp уязвимость, из-за эксплуатации которой Facebook обратилась в суд с иском против израильской компании NSO Group, занимающейся разработкой и продажей шпионских решений и так называемой «легальной малвари». Дело в том, что по данным Facebook, сотрудники NSO Group не только знали о том баге, но и использовали его для компрометации устройств более чем 1400 человек в Бахрейне, Объединенных Арабских Эмиратах и ​​Мексике.

Тренд этой весны — использование сервисов видеоконференций. Они напомнили нам, что в Сети ваши данные могут утечь в открытый доступ. Мессенджеры взломать сложнее. Они защищены сквозным шифрованием. Но есть другие способы. Мы собрали признаки того, что вам стоит задуматься о приватности. Иначе злоумышленники получат доступ к переписке или файлам на смартфоне.

Фото © Shutterstock

Вы разговариваете по видеосвязи

Видеосервисы — тренд среди мессенджеров в 2020 году на фоне пандемии коронавируса. Учебные занятия, рабочие совещания, встречи с друзьями — всё это происходит по видеосвязи.

И у видеосвязи есть проблемы: она либо работает с низким качеством, либо становится уязвимой для взлома. Свежий пример — утечка данных в Zoom. Из-за уязвимости в системе утилиты в открытый доступ попали тысячи видеозвонков пользователей Zoom. На YouTube, Vimeo и других сайтах были размещены школьные занятия, сеансы у психотерапевтов, совещания и другие видеовстречи.

Видеозвонки в Zoom не защищены сквозным шифрованием, когда доступ к беседе имеют только участники. Шифруются только диалоги на сайте, в технических документах и интерфейсе приложений, но не видеосвязь.

Фото © Shutterstock

На пальцах: сквозное шифрование (end-to-end, E2E) — это когда система превращает текст или файлы в набор символов, а расшифровать их могут только собеседники (система сделает это автоматически). Сервис при этом может иметь доступ к этим данным, его также могут получить злоумышленники. Но, если ключа нет, значит, и возможности разобраться в них не будет.

Решение: пользуйтесь мессенджерами, в которых видеосвязь защищена сквозным шифрованием. Приложения, где его официально нет или разработчик не указывает, игнорируйте. Заявлено сквозное шифрование видео у WhatsApp и FaceTime.

Фото © Shutterstock

Ещё один способ для вредоносного софта пробраться в ваш телефон и получить доступ к данным и приложениям, в частности мобильным банкам. Смартфон основателя Amazon Джеффа Безоса был взломан с помощью сообщения в мессенджере WhatsApp от принца Саудовской Аравии Мухаммеда ибн Салмана. По словам издания The Guardian, принц отправил ему вредоносный файл, который позволил злоумышленникам проникнуть в смартфон и получить доступ к данным.

Получить вирус и лишиться данных через мессенджер ещё проще. Таким приложениям по умолчанию предоставляется доступ к хранилищу, а файлы загружаются автоматически. Так на ваш телефон проберётся вирус, который будет копировать данные или записывать происходящее на экране.

Решение: придерживайтесь двух правил — не скачивайте документы от неизвестных адресатов и ограничьте автоматическую загрузку файлов.

Вот как это делается на WhatsApp для Android: пройдите в “Настройки” —> “Данные и хранилище” —> “Автозагрузка медиа”. Мессенджер может самостоятельно загружать четыре вида файлов: фото, видео, аудио и документы. Чтобы обезопасить себя от взлома, отключите автоматическую загрузку последних.

В ваш аккаунт входили с неизвестных устройств

Фото © Shutterstock

В соцсетях, мессенджерах и ряде других сервисов есть две важные функции: просмотр, с каких устройств был произведён вход в учётную запись, и возможность выхода из аккаунта со всех устройств.

Бывает, сайты показывают, на каких конкретно устройствах наблюдается активность. Например, “ВКонтакте” отображает, с каких аппаратов вы авторизованы. Если вы видите в списке не принадлежащее вам устройство, значит, в ваш аккаунт вошёл посторонний.

Решение: выйдите со всех устройств. Вы останетесь авторизованы только на одном своём, на котором выполняете операцию, для входа с остальных нужно будет снова авторизоваться.

• Как это сделать во “ВКонтакте”: зайдите в “Настройки” —> “Безопасность” —> “История активности”. Вам будут показаны устройства, их местоположение и IP-адреса. Это позволяет точно идентифицировать взлом учётной записи.
• Как это сделать в “Фейсбуке”: пройдите по “Настройки” —> “Безопасность и вход”. Вы увидите список устройств, с которых заходили в соцсеть. Нажмите “Дополнительно” (три вертикально стоящие точки) и выберите “Выход”. Эта соцсеть позволяет выходить с конкретного устройства, а не со всех сразу.
• Как это сделать в WhatsApp: здесь этого не требуется, на WhatsApp можно авторизоваться только с одного мобильного устройства, а с десктопа — по QR-коду.

После выхода со всех устройств смените пароль, чтобы злоумышленник не зашёл в аккаунт снова.

Вам прислали код аутентификации, который вы не запрашивали

Фото © Shutterstock

Эксперты Group-IB выяснили, как хакеры могут получить доступ к переписке в “Телеграме” на устройствах iOS и Android. Они авторизуются в аккаунте жертвы через СМС. Это перехват сообщения с кодом для авторизации.

Telegram хотят разблокировать, но смысл? Одна функция “Яндекс.Мессенджера” убивает его и WhatsApp

В конце 2019 года некоторые российские предприниматели столкнулись со взломом своих аккаунтов в “Телеграме”. Все кибератаки происходили по одному сценарию: пользователю приходило сообщение от сервисного канала “Телеграма” с кодом подтверждения, который он не запрашивал. После этого на телефон жертвы приходило сообщение с кодом активации — и почти сразу в сервисный канал “Телеграма” приходило уведомление о том, что в аккаунт был произведён вход с нового устройства. То есть в него вошли злоумышленники.

Устройства жертв не были заражены, учётные записи не были взломаны, а сим-карты не были подменены. Во всех случаях злоумышленники получали доступ к мессенджеру с помощью СМС-кодов, которые приходят при авторизации с нового устройства. Для этого достаточно перехватить сообщение.

Причём “Телеграм” — одно из уязвимых приложений. Ещё это могут быть другие мессенджеры, соцсети, электронная почта и приложения мобильных банков.

Решение: установите двухфакторную аутентификацию там, где это возможно. Вход в учётную запись будет производиться в два этапа: введение пароля и кода из СМС. Таким образом, если хакер перехватит сообщение и получит код, у него не будет достаточного количества данных для авторизации с вашего аккаунта. Ему нужно будет знать пароль.

Подпишитесь на LIFE

Выбор редакции

WhatsApp вскоре перестанет работать на некоторых смартфонах

вчера в 01:57

В WhatsApp для компьютеров появилась долгожданная функция

4 марта, 15:49

Всех владельцев iPhone призвали срочно обновить iOS

вчера в 23:47

Любовный нокаут: фанаты шокированы расставанием самой эффектной пары ММА

вчера в 21:40

Два десятка девушек прошли в финал кастинга для съемок первого фильма в космосе

сегодня в 00:50

Павел Дуров заявил, что всем нужно срочно удалить WhatsApp со смартфонов и других устройств.

Действительно, к безопасности и конфиденциальности этого мессенджера давно скопилось много вопросов. Соберём всю важную информацию по этой теме, чтобы вы знали, какие опасности могут поджидать в самом популярном мессенджере.

Разбираемся, что не так с WhatsApp.

Павел Дуров заявил: WhatsApp – это троян

Дуров написал:

WhatsApp не только не защищает ваши сообщения WhatsApp – это приложение постоянно используется в качестве трояна для слежки за фото и сообщениями, которые не относятся к WhatsApp. Зачем им [разработчикам] это делать? Facebook был частью программ слежки задолго до того, как купил WhatsApp. 

Разработчик Telegram подчеркнул: все баги, которые находят в WhatsApp, идеально подходят для слежки за пользователями. А если вспомнить утиный тест (если оно выглядит как утка, плавает как утка и крякает как утка, то это, вероятно, и есть утка), то от приложения действительно хочется избавиться.

По словам Дурова, “Facebook и WhatsApp делились практически всем с теми, кто утверждал, что работает на правительство”. Ой. 

Израильтяне добились впечатляющих успехов во взломе WhatsApp

В мае 2019 года эксперты по кибербезопасности нашли в системе голосовых звонков WhatsApp дыру, которую использовали для слежки за активистами. Работало это и на Android, и на iOS. 

Вредонос разработала израильская компания NSO Group. Он позволял установить на смартфон с WhatsApp шпионские приложения. 

Чтобы взломать смартфон, хакеры просто звонили жертве по WhatsApp. Приложение автоматически принимало звонок – без ведома владельца! Затем на смартфон загружали шпионское ПО для кражи данных. Записи о звонках удалялись, чтобы никто ничего не заподозрил. 

В WhatsApp проблему признали. Разработчики сравнили код вредоноса с другими разработками NSO Group и пришли к выводу, что почерк действительно один и тот же. Затем они за четыре дня разработали патч безопасности и попросили всех пользователей (1,5 млрд человек, на минуточку!) установить его. 

На чем зарабатывает израильская NSO Group?

Главный продукт компании – Pegasus. Это софт, который способен включать камеру и микрофон смартфона, просматривать e-mail и сообщения, собирать данные о геолокации. 

Основные заказчики Pegasus – спецслужбы Среднего Востока, США, Западной Европы и других регионов. Формально софт используют с подачи правительства, чтобы противостоять терроризму и предотвращать преступления. 

Когда о проблеме с WhatsApp стало известно всем, в NSO Group развели руками. Дескать, мы проверяем всех клиентов и расследуем случаи злоупотребления. Не мы охотимся за правозащитниками, а значит, мы ни в чем не виноваты и ничего не нарушили. 

Сколько стоит Pegasus, неизвестно. Саму NSO Group оценивают в 1 млрд долларов. 

Забавно другое: после выхода патча адвокат из Лондона заявил об атаке, похожей на использование софта  NSO Group. Он защищал саудовского диссидента и мексиканских журналистов, которых ранее также атаковали с применением того же софта.

Но получить данные со смартфона адвоката не удалось. Значит, патч всё-таки работает. 

Адвокат также помог жертвам атаки подать в суд на NSO Group. Он заявил, что разработчики должны разделить ответственность за взлом со своими клиентами. 

Так как NSO Group экспортировала ПО за границу, предъявило претензии и Министерство обороны Израиля. Но юристы убеждены: в министерстве и раньше знали о возможностях Pegasus, так что это показательное выступление. 

Как устроен WhatsApp, вообще неизвестно

WhatsApp – мессенджер с закрытым исходным кодом. В целом для коммерческих приложений это нормально. Но продукты с открытым исходным кодом внушают больше доверия. 

В WhatsApp вы не можете посмотреть, чем новая версия отличается от предшественницы. Не можете проанализировать код и найти бэкдоры. 

Специалисты ищут уязвимости в WhatsApp, исходя из поведения готового продукта. Это не дает увидеть полной картины.

Более того: разработчики WhatsApp обфусцируют код. Его специально запутывают, чтобы усложнить анализ. 

Скорее всего, это сделано по требованию спецслужб. От WhatsApp и материнской компании Facebook могли потребовать оставить в ПО бэкдоры. И если компании отправили приказ ФБР о неразглашении (так называемый Gag order), Цукерберг даже общественности пожаловаться не может.

WhatsApp был изначально полон дыр в безопасности

Создатели WhatsApp Брайан Эктон (слева) и Ян Кум

Создатели WhatsApp заявляли, что “безопасность у него в ДНК”. Но всё оказалось с точностью наоборот. 

Например, в 2011-2012 годах доступ к вашей переписке в WhatsApp могли получить даже мобильные провайдеры и администраторы Wi-Fi точек. Ключи шифрования одно время можно было подменить прямо в чате. Вряд ли тестировщики компании этого не замечали. 

Когда внедрили стандартное шифрование, ключи сделали доступными некоторым правительствам. Но резервные копии данных, которые настойчиво предлагали сохранять в облаке, никто не шифровал.

Сквозное шифрование, которое интегрировали в апреле 2016 года и которое используется сегодня, тоже не спасает от кражи данных. Например, разработчики признали, что бекапы на Google Drive загружали без шифрования.

Да, метаданные разговоров мессенджер тоже передавал властям. Из них можно понять, когда и с кем вы общались. 

А ещё в 2013 году исследователи установили, что WhatsApp копировал все мобильные номера телефонов из адресной книги на свои сервера. Формально чтобы показать, кто из них уже установил WhatsApp. Реально… с этими данными можно было сделать что угодно. 

На сервера WhatsApp попали и номера пользователей, которые не устанавливали приложение. К тому же при отправке использовалась ненадежная схема. Расшифровать данные даже на домашнем ноутбуке можно за три минуты. 

Возможность взлома WhatsApp доказали на высшем уровне

Расследование в отношении Пола Манафорта, руководителя предвыборной кампании Дональда Трампа и советника беглого украинского президента Януковича, подтверждает, что мессенджер полон сюрпризов. Сообщения Манафорта в WhatsApp достали из iCloud. 

Вероятно, Apple предоставила ФБР доступ к iCloud политика по решению суда. 

А WhatsApp пришлось передать ключи шифрования, и это позволило агентам прочитать переписку Манафорта. В итоге его признали виновным по нескольким обвинениям и посадили на семь с половиной лет. 

Основатели мессенджера перестали верить в WhatsApp 

Facebook купил WhatsApp в феврале 2014 года за 22 млрд долларов. В сентябре 2017 года  сооснователь WhatsApp Брайан Эктон покинул компанию В апреле 2018-го Ян Борисович Кум сделал то же самое – из-за сомнений в приватности данных пользователей. 

В марте, после скандала с Cambridge Analytica, Эктон призвал удалить Facebook и другие продукты компании. Он также заявил: Facebook неохотно согласился на оконечное шифрование в WhatsApp. 

Действительно: если компания признала, что годами хранила сотни миллионов паролей от Instagram в виде простого текста (!!!), то от неё всего можно ожидать. Данные были доступны 2 тыс. разработчиков. Мог ли кто-то слить эти данные? Риторический вопрос. 

Эктон также выразил сожаление о том, что согласился на сделку с Facebook:

Я продал приватность своих пользователей за большую выгоду. Я сделал выбор и пошел на уступки. И мне приходится жить с этим каждый день.

Эктон добавил: что происходит с шифрованием в WhatsApp после продажи, неизвестно. Как-то не верится, что его резко улучшили. 

Через WhatsApp прямо сейчас могут красть ваши данные

Новый громкий скандал с WhatsApp начался 3 октября. Уязвимость угрожает WhatsApp  (версии до 2.19.244) на Android, начиная с 8 версии. 

Работает это так:

1. Хакер отправляет жертве GIF-файл: как документ или просто в чате, если злоумышленник в контакт-листе жертвы. Во втором случае GIF даже автоматически загрузится.
2. Когда жертва захочет отправить кому-нибудь медиафайл, она нажмет на значок со скрепкой и откроет галерею для выбора файла. 
3. WhatsApp показывает в галерее превью медиафайлов. Это послужит триггером и запустит вредонос.
4. Profit! Теперь хакер может запускать на смартфоне жертвы произвольный код. 

В WhatsApp 2.19.244 проблему решили. 

Но 14 ноября эксперты нашли ещё одну дыру (и в Facebook её признали). Баг есть в WhatsApp до 2.19.274 для Android и в iOS-версии до 2.19.100. 

Разработчики раскрыли не слишком много подробностей. Лишь отметили, что уязвимость связана с тем, как WhatsApp анализирует метадату mp4-видеофайлов. 

Если баг эксплуатировать, можно добиться выполнения на смартфоне произвольного кода или отказа обслуживания (когда гаджетом нельзя будет пользоваться). 

Если вы ещё не обновились, самое время. 

А что с самим Telegram

У мессенджера Дурова с безопасностью тоже всё не очень гладко. Вот здесь мы разбирались, в чем дело. 

Если вкратце, то в Telegram тоже используется сквозное шифрование. В приватных чатах Telegram ключи действительно есть только у участников, в обычных (облачных) ключ теоретически может получить кто угодно. 

Сквозное шифрование в Telegram не раз обходили. Да и другие уязвимости обнаруживали. Например, и в WhatsApp, и в Telegram можно было скрыть вредоносный код в изображении и отправить жертве, а затем получить полный доступ к её аккаунту. 

И вообще: в сентябре эксперт Дирай Мишра обнаружил, что удаленные в Telegram файлы остаются на устройстве после того, как вы нажимаете в чате кнопку “Удалить для всех”. Так что если вы по ошибке перешлете свои нюдсы боссу, а потом сразу удалите их, босс всё равно сможет сколько угодно их рассматривать. Фото сохранятся у него в папке на смартфоне при получении. Да и хакеры смогут получить доступ к файлам на устройстве.

В Telegram признали проблему. За найденный баг Мишре выплатили 2500 евро в рамках программы bug bounty. 

В WhatsApp есть такая же фича. И она работает как надо. 

Что ж, программы пишут люди. А люди ошибаются. Чаще, чем нам хотелось бы.

Разница только в том, что WhatsApp сотрудничает с властями, а Telegram утверждает, что не сотрудничает. 

Что теперь делать?

Если WhatsApp у вас – только для списков продуктов и школьных чатов, в целом можно не волноваться. Но конфиденциальную информацию и нюдсы через него передавать не стоит. 

Telegram все же безопаснее WhatsApp. А Signal, пожалуй, безопаснее Telegram.

Есть ещё Wire, Threema и другие продукты. Но абсолютно безопасных мессенджеров не существует. 

? Хочешь больше? Подпишись на наш Telegram. … и не забывай читать наш Facebook и Twitter ? iPhones.ru Это вам не Telegram. –>

Ксения Шестакова

@oschest

Живу в будущем. Разбираю сложные технологии на простые составляющие.

Гал Вaйцман, исследователь информационной безопасности, описал технические детали уязвимостей высокой степени (CVE-2019-18426) в WhatsApp. Они позволяли злоумышленникам читать файлы с ПК под управлением Windows и macOS и выполнять произвольный код. Сейчас уязвимости устранены разработчиком. Бреши обнаружились именно в настольных версиях WhatsApp, а также в веб-версии приложения. Они позволяли хакерам удаленно получать доступ к пользовательским файлам и отправлять специально созданное сообщение, похожее на код, просмотр которого позволял осуществить выполнение произвольного кода в контексте веб-домена WhatsApp. Вайцман смог изменить текст чужого ответа на сообщение, используя строку кода с метаданными: Затем он создал сообщение, которое выглядело, как обычный месседж с предпросмотром, но вместо этого при простой подмене ссылки перенаправляло на другой домен. Ссылка может выглядеть и менее очевидной: Это работает благодаря роли @ в спецификации URL. Цель @ в URL-адресах — передать имя пользователя и пароль для посещаемых доменов следующим образом: https: // ИМЯ ПОЛЬЗОВАТЕЛЯ: PASSWORD@DOMAIN.COM. Можно злоупотребить этим и заменить имя пользователя и пароль на что-нибудь еще: https: //DOMAIN-A.COM@DOMAIN-B.com, и оно все равно будет работать. Firefox — единственный браузер, который по умолчанию предупреждает пользователей, если этот метод используется без указания имени пользователя и пароля. А вот пример с использованием javascript: URI: Неправильно настроенная политика безопасности контента (CSP) в веб-домене позволяла осуществлять межсайтовый скриптинг с помощью iframe с отдельного ресурса. Вайцман также проверил уязвимости мессенджера для получения прав на удаленное чтение файлов внутри атакуемой системы. Исследователь сообщил об обнаруженных им уязвимостях в 2019 году. После этого служба безопасности Facebook выпустила соответствующее обновление. В качестве вознаграждения исследователь получил $12 500. Ранее израильская компания Check Point опубликовала исследование уязвимости, которая позволяла злоумышленникам блокировать работу WhatsApp на устройствах тех, с кем они состояли в одном групповом чате. Хакеры могли вступать в заранее выбранный групповой чат и на правах участника менять определенные параметры, а затем отправлять вредоносные сообщения, используя Whatsapp Web и инструмент отладки веб-браузера. Таким образом, злоумышленники запускали замкнутый круг сбоев для всех членов группового чата, которые запрещали им доступ ко всем функциям мессенджера. Пользователи удаляли и заново скачивали WhatsApp, но не могли вернуться в чат. Чтобы прервать замкнутый круг ошибок, им приходилось в конце концов удалить сам чат. К настоящему моменту проблема решена в версиях приложения выше 2.19.246.

См. также:

• «Как сделать API на любое Android приложение. На примере WhatsApp»
• «Павел Дуров снова раскритиковал WhatsApp»
• «Guardian: смартфон главы Amazon взломали c помощью вредоносного видео»

Используемые источники:

• https://tproger.ru/translations/whatsapp-chat-manipulation/
• https://xakep.ru/2019/11/18/whatsapp-rce/
• https://life.ru/p/1320777
• https://www.iphones.ru/inotes/pochemu-whatsapp-nebezopasen-11-21-2019
• https://habr.com/ru/news/t/487222/