Webová verze oblíbeného komunikátoru WhatsApp obsahovala zranitelnost, která umožňovala útočníkům převzít kontrolu nad účtem oběti, stáhnout veškeré fotografie nebo si přečíst kompletní historii konverzací. Podobně potom mohli být napadeni také uživatelé komunikátoru Telegram. Informovali o tom bezpečnostní analytici společnosti Check Point v tiskové zprávě.
Chybu útočníci mohli zneužít v případě kteréhokoliv uživatele, který pro komunikaci používal webové rozhraní. Škodlivý kód zabalili do souboru, který se tvářil jako obyčejná fotografie, po rozkliknutí však došlo k využití lokálních dat prohlížeče pro převzetí kontroly nad účtem.
Útočníci mohli zneužít především dvou mechanismů, které komunikátor využíval. Prvním z nich jsou náhledy známých souborů jako jsou dokumenty, fotky, ale i webové stránky, jež se zobrazují v konverzaci. Soubor HTML tak může obsahovat libovolný kód, nicméně v náhledu může Whatsapp zobrazit pouze fotografii.
Video s ukázkou ve službě WhatsApp:
Druhým problémem potom bylo šifrování zprávy před odesláním, které zamezilo možné kontrole odesílaných souborů na straně WhatsApp. To však bylo velmi rychle napraveno a aplikace nyní kontrolují bezpečnost souborů ještě před jejich odesláním.
V případě aplikace Telegram bylo zneužití velmi podobné, analytici Check Pointu jej demonstrovali na odeslání „zábavného“ videa. Pokud na něj oběť kliknula, opět došlo k přesměrování na soubor, který dokázal využít lokálně uložená data pro převzetí kontroly nad účtem.
Video s ukázkou ve službě Telegram:
Jak WhatsApp tak Telegram díry v systému zalepili a útok tohoto typu by tak uživatelům aktuálně neměl hrozit.
