Whatsapp obsahoval díru, která umožňovala snadný přístup k fotografiím i soukromým chatům

Webová verze oblíbeného komunikátoru WhatsApp obsahovala zranitelnost, která umožňovala útočníkům převzít kontrolu nad účtem oběti, stáhnout veškeré fotografie nebo si přečíst kompletní historii konverzací. Podobně potom mohli být napadeni také uživatelé komunikátoru Telegram. Informovali o tom bezpečnostní analytici společnosti Check Point v tiskové zprávě.

Chybu útočníci mohli zneužít v případě kteréhokoliv uživatele, který pro komunikaci používal webové rozhraní. Škodlivý kód zabalili do souboru, který se tvářil jako obyčejná fotografie, po rozkliknutí však došlo k využití lokálních dat prohlížeče pro převzetí kontroly nad účtem.

Útočníci mohli zneužít především dvou mechanismů, které komunikátor využíval. Prvním z nich jsou náhledy známých souborů jako jsou dokumenty, fotky, ale i webové stránky, jež se zobrazují v konverzaci. Soubor HTML tak může obsahovat libovolný kód, nicméně v náhledu může Whatsapp zobrazit pouze fotografii.

Video s ukázkou ve službě WhatsApp:

Druhým problémem potom bylo šifrování zprávy před odesláním, které zamezilo možné kontrole odesílaných souborů na straně WhatsApp. To však bylo velmi rychle napraveno a aplikace nyní kontrolují bezpečnost souborů ještě před jejich odesláním.

V případě aplikace Telegram bylo zneužití velmi podobné, analytici Check Pointu jej demonstrovali na odeslání „zábavného“ videa. Pokud na něj oběť kliknula, opět došlo k přesměrování na soubor, který dokázal využít lokálně uložená data pro převzetí kontroly nad účtem.

Video s ukázkou ve službě Telegram:

Jak WhatsApp tak Telegram díry v systému zalepili a útok tohoto typu by tak uživatelům aktuálně neměl hrozit.

Témata článku: Bezpečnost, Sociální sítě, Hacking, Telegram

9 komentářů

Nejnovější komentáře

  • Martin Škvrně 16. 3. 2017 10:49:42
    Informace, že se stejná zranitelnost týká i Telegramu, není tak docela...
  • edimer 15. 3. 2017 22:28:20
    Taky je dobrá věc že se dá v domácích podmínkách jednoduše Hacknout...
  • Krejmaj 15. 3. 2017 21:02:57
    to vam zakazali pouzivat youtube prehravac ze musite davat misto youtube...
Určitě si přečtěte

Kde nejlevněji uložit 1 TB dat: Srovnali jsme aktuální ceny cloudových úložišť

Kde nejlevněji uložit 1 TB dat: Srovnali jsme aktuální ceny cloudových úložišť

** Srovnali jsme známá cloudová úložiště podle toho, kolik měsíčně zaplatíte za 1TB ** Ceny se pohybují od dvou stovek až po tisíc korun ** Google umožní uložit až 30 TB dat

18.  3.  2017 | Stanislav Janů | 115

Špičkoví hackeři útočili na prohlížeče. Chrome odolal, ale Edge je tragédie

Špičkoví hackeři útočili na prohlížeče. Chrome odolal, ale Edge je tragédie

** Do Vancouveru se sjeli hackeři ** Soutěžili v útocích na prohlížeče ** Chrome odolal, ale Edge to projel na celé čáře

22.  3.  2017 | Jakub Čížek | 78

Pojďme programovat elektroniku: Meteostanice, která bude díky Sigfoxu posílat stav počasí třeba z vrcholu Sněžky

Pojďme programovat elektroniku: Meteostanice, která bude díky Sigfoxu posílat stav počasí třeba z vrcholu Sněžky

** Příští roky budou ve znamení internetu věcí ** Podívali jsme se podrobně na síť Sigfox ** Takhle s ní komunikují krabičky z celé Evropy

19.  3.  2017 | Jakub Čížek | 18

Obří Mechroboti jsou realitou, měří čtyři metry a mají hmotnost přes 1,5 tuny

Obří Mechroboti jsou realitou, měří čtyři metry a mají hmotnost přes 1,5 tuny

** Jihokorejská společnost Hankook Mirae Technology vyrábí obří Mechroboty ** Jsou určené pro ovládání člověkem uvnitř ** V prodeji se objeví koncem tohoto roku za 200 milionů korun

20.  3.  2017 | Karel Javůrek | 18


Aktuální číslo časopisu Computer

Supertéma o počítačové bezpečnosti

AMD Ryzen přichází

Velké testy kinoprojektorů a levných sluchátek

Příslušenství do USB-C