Výzkumníci společnosti Check Point odhalili novou zranitelnost v on-line platformách populárních služeb pro zasílání zpráv WhatsApp a Telegram (WhatsApp Web a Telegram Web). Zneužitím zranitelnosti by mohli útočníci kompletně převzít kontrolu nad uživatelskými účty a získat přístup k osobním i skupinovým konverzacím, fotkám, videím a dalším sdíleným souborům, kontaktům a dalším datům.
Doplněno: Podle vyjádření zástupců komunikační služby Telegram je informace společnosti Check Point chybná a zranitelnost se týkala pouze WhatsAppu, Telegramu nikoliv.
„Nová zranitelnost ohrožuje stovky milionů uživatelů služeb WhatsApp Web a Telegram Web a vystavuje jejich účty riziku kompletního ovládnutí hackery,“ říká Petr Kadrmas, Secuity Engineer Eastern Europe ve společnosti Check Point. „Jednoduchým zasláním zdánlivě neškodné fotky mohou útočníci převzít kontrolu nad účtem a získat přístup k historii zpráv, ke všem fotografiím, které kdy byly sdíleny, a odesílat zprávy jménem uživatele.“
Zranitelnost umožňuje útočníkům poslat oběti škodlivý kód, který je ukryt ve zdánlivě nevinně vypadajícím obrázku. Jakmile uživatel na obrázek klikne, může útočník získat plný přístup k datům oběti ve službách WhatsApp nebo Telegram a převzít kontrolu nad účtem. Útočník pak může poslat škodlivý soubor všem kontaktům oběti, což potenciálně umožňuje masové útoky.
Check Point o zranitelnosti informoval bezpečnostní týmy WhatsApp a Telegram 8. března letošního roku. WhatsApp a Telegram uznaly bezpečnostní riziko a vyvinuly opravu pro webové klienty po celém světě. Uživatelům webových verzí WhatsApp a Telegram, kteří si chtějí být jisti, že používají nejnovější verze, je doporučeno restartovat webový prohlížeč.
WhatsApp a Telegram používají na ochranu dat koncové šifrování zpráv, aby bylo zajištěno, že zprávy mohou číst pouze účastníci komunikace. Přesto stejné koncové šifrování bylo zdrojem také této zranitelnosti. Jelikož byly zprávy zašifrovány na straně odesílatele, WhatsApp a Telegram neměly přístup k obsahu, a nemohly tak zabránit odesílání škodlivého obsahu. Po opravě této zranitelnosti je nyní obsah ověřen před zašifrováním, což umožňuje blokovat škodlivé soubory. Obě webové verze obsahují všechny zprávy odeslané a přijaté uživatelem v mobilní aplikaci a jsou plně synchronizované s uživatelskými zařízeními.
