Как стать автором
Обновить

Уязвимость позволяла хакерам блокировать WhatsApp у участников групповых чатов

Информационная безопасностьСоциальные сети и сообщества
image

Израильская компания Check Point опубликовала исследование уязвимости, которая позволяла злоумышленникам блокировать работу WhatsApp на устройствах тех, с кем они состояли в одном групповом чате.

Хакеры могли вступать в заранее выбранный групповой чат и на правах участника менять определенные параметры, а затем отправлять вредоносные сообщения, используя Whatsapp Web и инструмент отладки веб-браузера. Таким образом, злоумышленники запускали замкнутый круг сбоев для всех членов группового чата, которые запрещали им доступ ко всем функциям мессенджера. Пользователи удаляли и заново скачивали WhatsApp, но не могли вернуться в чат. Чтобы прервать замкнутый круг ошибок, им приходилось в конце концов удалить сам чат. К настоящему моменту проблема решена в версиях приложения выше 2.19.246.

image

Кроме того, уязвимость позволяла хакерам расшифровать информацию и содержание отправленных пользователями в чате сообщений с помощью веб-версии, которая в точности копирует все сообщения и отображает их в браузере. Приложение же всегда проверяет номер телефона отправителя сообщения, чтобы идентифицировать его. Чтобы запустить круг ошибок, злоумышленникам было достаточно лишь заменить параметр участника с номера телефона отправителя на любой нецифровый символ. Таким образом, хакеры могли получать данные из чатов и безвозвратно удалять их.

Причина уязвимости заключалась в особенностях протокола обмена мгновенными сообщениями XMPP. Исследователи воспроизвели пошаговую картину действий хакеров.


Ранее в Check Point сообщали, что злоумышленники могут перехватывать и изменять сообщения Whatsapp.

Осенью пользователи WhatsApp жаловались на то, что администрация мессенджера навечно блокирует их за участие в групповых чатах после их внезапного переименования, которое модераторы расценивают как «злонамеренное». Участники чатов утверждали, что они не занимались рассылкой спама или запрещенных данных, а также не нарушали иные правила сервиса. Блокировка же является вечной, то есть пользователям приходится регистрироваться в WhatsApp с другого номера телефона. Число заблокированных участников чатов могло достигать 50-ти и даже 100 человек.

В ответ в WhatsApp посоветовали избегать блокировки путем запрета на автоматическое добавление в чаты, которые позволяют новым участникам менять названия, и поменять соответствующие настройки приватности.
Теги:мессенджерычатыуязвимостиwhatsappxmpp
Хабы: Информационная безопасность Социальные сети и сообщества
Всего голосов 9: ↑8 и ↓1+7
Просмотры2K

Похожие публикации

Лучшие публикации за сутки