«Ця нова уразливість піддала ризику повного захоплення акаунти мільйонів користувачів WhatsApp Web і Telegram Web, - каже Одед Вануну, глава підрозділу Check Point Software Technologies з досліджень і пошуку вразливостей. - Всього лише відправивши невинне на вигляд фото, зловмисник міг отримати контроль над аккаунтом, доступ до історії повідомлень, всіх фото, які були відправлені і отримані, і відправляти повідомлення від імені користувача».

Check Point передав цю інформацію до відділів з безпеки WhatsApp і Telegram 8 березня 2017 року. WhatsApp і Telegram визнали проблему і розробили виправлення для веб-клієнтів по всьому світу. Користувачам WhatsApp і Telegram, які хочуть переконатися, що використовують останню версію, рекомендується перезапустити браузер.

WhatsApp і Telegram використовують наскрізне шифрування повідомлень в якості запобіжного захисту даних, завдяки якому тільки безпосередні учасники листування можуть читати повідомлення, і ніхто не вторгається в їх процес комунікації. Однак це наскрізне шифрування і стало джерелом уразливості.

Так як повідомлення були зашифровані з боку відправника, WhatsApp і Telegram не могли визначити якість контенту. Відповідно, вони не могли запобігти відправку шкідливого коду. Після закриття цієї уразливості контент тепер перевіряється до шифровки, що дозволяє блокувати шкідливі файли. Обидві веб-версії відображають всі повідомлення, які були відправлені і отримані через мобільний додаток, і повністю синхронізовані з пристроями користувача.

Детальні технічні подробиці дослідження Check Point можна прочитати в блозі компанії за наступним посиланням.

Джерело: Check Point