[News] Com uma imagem, hacker podia invadir WhatsApp e Telegram

Ver o tópico anterior Ver o tópico seguinte Ir em baixo

[News] Com uma imagem, hacker podia invadir WhatsApp e Telegram

Mensagem por Hannibal em Sab 18 Mar - 10:54

Com uma imagem, hacker podia invadir WhatsApp e Telegram.



A empresa de segurança Check Point divulgou nesta quarta-feira (15) que seus especialistas encontraram uma brecha nas interfaces web dos comunicadores WhatsApp e Telegram. A vulnerabilidade permitia que um invasor acessasse a conta da vítima, incluindo todas as mensagens e imagens, desde que a vítima recebesse e abrisse uma foto pela interface web do serviço.

Quem acessa o WhatsApp ou o Telegram apenas pelo aplicativo no celular não estava vulnerável a este ataque.

Os especialistas descobriram o problema em uma pesquisa independente. Por isso, não há evidências de que a falha tenha sido explorada de verdade.

A brecha foi identificada pela Check Point e comunicada aos desenvolvedores do WhatsApp e do Telegram no dia 7 de março. Segundo a empresa, o WhatsApp e o Telegram atuaram rapidamente para corrigir o problema. Por isso, a técnica divulgada pela empresa não funciona mais.

A Check Point publicou vídeos demonstrando os ataques: assista do WhatsApp e do Telegram.

Imagem que não é imagem
O ataque consistia em enviar uma imagem falsa pelo WhatsApp Web ou Telegram Web para uma vítima que também estivesse usando esses clientes. O truque residia no fato de que a imagem enviada não era de fato uma imagem, mas um código do tipo HTML, que é interpretado pelo navegador como página web.

Quando a vítima abria a imagem, ela estava na verdade abrindo uma página definida pelo atacante. Como a página era aberta no contexto do WhatsApp ou do Telegram, essa página tinha autorização para coletar informações relativas ao serviço, inclusive a chave de autorização para acesso.

Essa informação podia então ser transferida para o invasor, que ganhava acesso ao cliente web.

Segundo a Check Point, o uso de "criptografia ponta-a-ponta" pelo WhatsApp e pelo Telegram acaba contribuindo para o surgimento desse tipo de vulnerabilidade. Como o serviço não é capaz de visualizar o conteúdo transferido, o serviço não pode validar os dados para saber se há algo inadequado no arquivo antes de retransmiti-lo.

Por isso, nesses casos, a validação dos dados fica inteiramente a cargo do sistema receptor - seja o WhatsApp Web ou o Telegram Web.


Proteção
O WhatsApp Web tem uma proteção que impede dois acessos a partir de uma mesma chave de autorização. No entanto, como o invasor está executando código na própria janela do WhatsApp, a Check Point observou que há meios de burlar essa proteção, tais como fazer a janela travar por alguns instantes enquanto o invasor acessa a conta.


Fonte: G1


"errar é humano assumir o erro é divino"
Sleep
drunken

Speed Test:


FanBar User:


Parceiros:




avatar
Hannibal

Nada

ADMIN
Mensagens : 1124
Pontos de Participação : 3261
Reputação : 383
Data de inscrição : 29/07/2011
Respeito as regras :

http://madeinbrazil.umforum.net

Voltar ao Topo Ir em baixo

Ver o tópico anterior Ver o tópico seguinte Voltar ao Topo


 
Permissão deste fórum:
Você não pode responder aos tópicos neste fórum