En af de mest bekymrende lækager fra den seneste WikiLeaks-publikation er muligheden for, at offentlige organisationer kan kompromittere WhatsApp, Telegram og andre end-til-end-krypterede chatapplikationer. Selvom dette endnu ikke er bevist, er mange slutbrugere bekymrede over WhatsApp og Telegram end-to-end-kryptering for at garantere brugernes privatliv. Denne kryptering er designet til at sikre, at kun de mennesker, der kommunikerer, kan læse beskederne og ingen andre imellem.
Men den samme mekanisme har også været oprindelsen til en ny sårbarhed, som vi har opdaget i både messaging-service online platforme WhatsApp Web og Telegram Web. Onlineversionen af disse platforme spejler alle meddelelser, der sendes og modtages af brugeren, og er fuldt synkroniseret med brugernes enhed.
Denne sårbarhed, hvis den blev udnyttet, ville have gjort det muligt for angribere at overtage brugernes konti fuldstændigt i enhver browser og få adgang til ofrenes personlige og gruppesamtaler, fotos, videoer og andre delte filer, kontaktlister og mere. Dette betyder, at angribere muligvis kan e dine fotos og eller sende dem online, sende beskeder på dine vegne, kræve løsesum og endda overtage dine venners konti.
Så næste gang når nogen sender dig et billede af en sød kat eller en varm kylling på WhatsApp eller Telegram, skal du være forsigtig, inden du klikker på billedet for at se, det kan hacke din konto inden for få sekunder. Et computersikkerhedsfirma afslørede onsdag en fejl, der kunne lade hackere bryde ind på WhatsApp- eller Telegram-messaging-konti ved hjælp af den meget kryptering, der var beregnet til at beskytte meddelelser.
Tekniske detaljer - WhatsApp
WhatsApp-filmekanisme understøtter flere dokumenttyper såsom Office-dokumenter, PDF, lydfiler, videoer og billeder. Hver af de understøttede typer kan es og sendes til WhatsApp-klienter som en vedhæftet fil.
Imidlertid har Check Point-forskergruppen formået at omgå mekanismens begrænsninger ved at e et ondsindet HTML-dokument med en legitim forhåndsvisning af et billede for at narre et offer til at klikke på dokumentet for at overtage hans konto. Når offeret klikker på dokumentet, bruger WhatsApp-webklienten FileReader HTML 5 API-opkaldet til at generere en unik BLOB-URL med filindholdet sendt af angriberen og navigerer derefter brugeren til denne URL.
Tekniske detaljer - Telegram
Telegram understøtter flere dokumenttyper, der skal sendes til Telegram Web-applikationen, men de eneste billed- og videodokumenttyper er gemt i filsystemsektionen i browseren.
Check Point-forskere har formået at omgå Telegrams politik og e et ondsindet HTML-dokument med en mime-type af en videofil "video / mp4". Derefter var de i stand til at sende det til offerets side i en krypteret kanal via telegramservere. Når offeret åbner videoen i en ny browserfane, begynder den at spille, og brugernes sessionsdata sendes til angriberen.
Interessant er det end-til-end-krypteringsfunktionen i disse apps, der ville have hjulpet hackere med at udnytte fejlen. Fordi indholdet af chats er krypteret fra ende til ende, betyder det, at hverken WhatsApp eller Telegram kunne se malware gemt i et delt ondsindet billede. Det betyder, at begge virksomheder ville være blinde for indholdet, så ondsindet kode kunne sendes frem og tilbage mellem brugerne.
Indtil videre valideres indholdet før krypteringen, forklarer Check Point, hvilket vil blokere ondsindede filer. Check Point-teamet skitserer også et par metoder til at sikre, at du ikke er ofre for sådanne hacks.
Check Point-sikkerhedstip:
Mens WhatsApp & Telegram har opdateret denne sårbarhed, anbefaler vi som almindelig praksis følgende forebyggende foranstaltninger:
1. Rengør med jævne mellemrum indloggede computere fra dit WhatsApp & Telegram. Dette giver dig mulighed for at kontrollere de enheder, der er vært for din konto og lukke uønsket aktivitet.
2. Undgå at åbne mistænkelige filer og links fra ukendte brugere.
Efter at have rettet denne fejl, vil indholdet på webversionerne af både WhatsApp og Telegram nu blive valideret inden end-to-end-kryptering kommer i spil, så ondsindede filer kan blokeres.
