Совсем недавно компания Check Point обнаружили и опубликовали способ взлома WhatsApp при условии, что цель открывает фотографию, которую посылает атакующий. Не требовалось никаких дополнительных действий со стороны атакуемой цели. Затем волна СМИ сообщили, что якобы та же уязвимость была обнаружена в телеграмме.
Это не соответствует действительности, так как телеграмм не имел данную уязвимость. В отличие от WhatsApp, никто не смог захватить вашу учетную запись Telegram, просто отправив вам фотографию.
Что же было на самом деле?
На прошлой неделе Check Point опубликовали способ взлома телеграмм, который был основан на той же идее, но в итоге имели очень разные действия для достижения цели и последствия для атакуемого. Для взлома аккаунта телеграм необходимо было не просто открыть видео ролик, а заставить выполнить атакуемую цель следующие действия:
1. Нажать ‘Play’, чтобы начать просмотр вредоносного видео (с предварительно вшитым вредоносным кодом) Атака могла быть только через веб версию телеграм и только в браузере Chrome.
2. Затем, как видео уже воспроизводится, необходимо было щелкнуть правой кнопкой мыши и выбрать из меню «открыть в новой вкладке».
Ваша цель должна была сделать именно это, именно в таком порядке и в браузере Chrome. Также обратите внимание:
- Это НЕ работало, если вы просто открыли «Воспроизведение видео» или ссылку в новой вкладке.
- Это НЕ работало в других браузерах, кроме как в Chrome.
- Это, естественно, НЕ коснулось Telegram Desktop и других версий приложений.
- Мы моментально устранили эту уязвимость.
Как вы можете видеть нападение через веб телеграм требовало массу особых условий/действий и определённого вшитого кода для достижения успешной атаки.
Но что пишут СМИ?
Многие СМИ ошибочно сообщили, что Web Telegram имела такую же проблему безопасности, как Web версия WhatsApp. Причина этому скорее в том, что Check Point решили написать свой пост и максимально повысить его читаемость и своё продвижение PR в сети . Наряду с выпуском о уязвимости WhatsApp в пост были включены недостоверные заявления о уязвимости Телеграмм, например:
Once the user clicks to open the malicious file, it allows the attacker to access WhatsApp’s and Telegram’s local storage, where user data is stored. From that point, the attacker can gain full access to the user’s account and account data.
Дословный перевод — После того, как пользователь нажимает кнопку, чтобы открыть вредоносный файл, он позволяет злоумышленнику получить доступ к локальным хранилищам WhatsApp и Телеграмм, где хранятся пользовательские данные. С этого момента, злоумышленник может получить полный доступ к данным учетной записи и учетной записи пользователя.
Это НЕ верно, так как web телеграм никогда не имел и не будет иметь такой простой уязвимости. К сожалению, теперь посыпался шквал статей, вводящих в заблуждение журналистов и читателей по всему земному шару. Так что если вы видите заголовок, типа — «Как одной фотографией может быть взломан ваш WhatsApp и Телеграмм», не стесняйтесь сказать автору, что это не правда, а лишь маркетинговый ход одной из компаний в сфере информационной безопасности.
UPD 16.03.17: После многочисленных запросов, Check Point обновил свой пост на день позже.
Как узнать был ли я взломан?
Если Вы являетесь пользователем телеграмм и использовали веб версию web.telegram (напоминаем уязвимость коснулась только web версию), попытайтесь вспомнить делали Вы те сложные действия что описаны выше. Если Вы, никогда не делали этого, то будьте уверены, что Вы не попали под угрозу.