Израильская компания Check Point опубликовала исследование уязвимости, которая позволяла злоумышленникам блокировать работу WhatsApp на устройствах тех, с кем они состояли в одном групповом чате.
Хакеры могли вступать в заранее выбранный групповой чат и на правах участника менять определенные параметры, а затем отправлять вредоносные сообщения, используя Whatsapp Web и инструмент отладки веб-браузера. Таким образом, злоумышленники запускали замкнутый круг сбоев для всех членов группового чата, которые запрещали им доступ ко всем функциям мессенджера. Пользователи удаляли и заново скачивали WhatsApp, но не могли вернуться в чат. Чтобы прервать замкнутый круг ошибок, им приходилось в конце концов удалить сам чат. К настоящему моменту проблема решена в версиях приложения выше 2.19.246.
Кроме того, уязвимость позволяла хакерам расшифровать информацию и содержание отправленных пользователями в чате сообщений с помощью веб-версии, которая в точности копирует все сообщения и отображает их в браузере. Приложение же всегда проверяет номер телефона отправителя сообщения, чтобы идентифицировать его. Чтобы запустить круг ошибок, злоумышленникам было достаточно лишь заменить параметр участника с номера телефона отправителя на любой нецифровый символ. Таким образом, хакеры могли получать данные из чатов и безвозвратно удалять их.
Причина уязвимости заключалась в особенностях протокола обмена мгновенными сообщениями XMPP. Исследователи воспроизвели пошаговую картину действий хакеров.
Ранее в Check Point сообщали, что злоумышленники могут перехватывать и изменять сообщения Whatsapp.
Осенью пользователи WhatsApp жаловались на то, что администрация мессенджера навечно блокирует их за участие в групповых чатах после их внезапного переименования, которое модераторы расценивают как «злонамеренное». Участники чатов утверждали, что они не занимались рассылкой спама или запрещенных данных, а также не нарушали иные правила сервиса. Блокировка же является вечной, то есть пользователям приходится регистрироваться в WhatsApp с другого номера телефона. Число заблокированных участников чатов могло достигать 50-ти и даже 100 человек.
В ответ в WhatsApp посоветовали избегать блокировки путем запрета на автоматическое добавление в чаты, которые позволяют новым участникам менять названия, и поменять соответствующие настройки приватности.
