Обнаружена уязвимость, позволяющая получить контроль над аккаунтами WhatsApp и Telegram
Эксперты Check Point обнаружили способ, при помощи которого можно перехватить любой аккаунт в WhatsApp и Telegram. Метод заключается в том, чтобы зашифровать в изображение ссылку, которая ведет на сайт со специальным кодом.
Когда жертва на нее нажмет, HTML-страница извлечет все локально сохраненные данные, позволяющие злоумышленникам «угнать» учетную запись. «Просто отправив безобидное на первый взгляд фото, хакер может завладеть учетной записью, получить доступ к переписке, всем фотографиям и сообщениям, отправленным от лица пользователя», - рассказал представитель Check Point Одед Вануну.
По его словам, в WhatsApp жертве было достаточно открыть картинку, чтобы потерять доступ к чатам, контактам и профилю. В Telegram выполнить атаку было сложнее: от пользователя требовалось, например, запустить видео на отдельной вкладке в Chrome.
Эксперты уведомили разработчиков о «бреши» безопасности 8 марта, после чего оба сервиса разработали обновление, изменяющее протоколы проверки загружаемых файлов для устранения проблемы. Пользователям WhatsApp и Telegram, которые хотят убедиться, что используют последнюю версию, рекомендуется перезапустить браузер.
Это уже не первый случай, когда хакеры используют изображения для взлома. В конце прошлого года специалисты ESET выявили «вредонос», поражающий пользователей популярных веб-сайтов. Как оказалось, вредоносный скрипт был зашифрован в альфа-канале рекламных GIF-изображений. Скрываясь в пикселях на «гифках», вирус сумел оставаться незамеченным на протяжении двух лет.
