15 марта 2017 года специалисты компании Check Point рассказали о новой проблеме в онлайн-платформах популярных мессенджеров WhatsApp и Telegram. Используя обнаруженные уязвимости, злоумышленники могли полностью завладеть аккаунтом жертвы и получить доступ к ее персональным и групповым перепискам, фото, видео и другим переданным файлам, контактам и так далее. Кроме того, заразив одного пользователя, злоумышленник может разослать вредоносный файл всем контактам жертвы, что позволяло организовать масштабную атаку.
Проблема похожа для обоих мессенджеров: уязвимость позволяет отправить жертве вредоносный код, замаскированный под безобидную с виду картинку или видеоролик. Как только пользователь нажмет на этот файл, злоумышленник получит полный доступ к хранящимся данным пользователя WhatsApp или Telegram и сможет перехватить контроль над аккаунтом.
Так, WhatsApp позволяет передавать различные типы файлов: документы Office, PDF, аудиофайлы, видеофайлы, изображения. Однако исследователям Check Point удалось обмануть ограничения мессенджера и заставить его передать вредоносный HTML-файл, оснастив его превью, будто это обыкновенная картинка. Как только жертва нажимает на такую приманку, веб-клиент WhatsApp использует FileReader HTML 5 API для генерации уникального BLOB URL, содержащего контент атакующего, и жертва направляется по этой ссылке.
Веб-версия Telegram также поддерживает передачу различных файлов, но только изображения и видео используют для хранения Filesystem в браузере. Поэтому в данном случае исследователи замаскировали вредоносный HTML-документ под файл video/mp4, подделав MIME-тип файла. Как только пользователь откроет такой ролик в новой вкладке, и тот начнет проигрываться, все данные сессии пользователя будут переданы атакующему.
«Эта новая уязвимость подвергла риску полного захвата аккаунты миллионов пользователей WhatsApp Web и Telegram Web, — говорит Одед Вануну, глава подразделения Check Point Software Technologies по исследованиям и поиску уязвимостей. — Всего лишь отправив невинное с виду фото, злоумышленник мог получить контроль над аккаунтом, доступ к истории сообщений, всем фото, которые были отправлены и получены, и отправлять сообщения от имени пользователя».
8 марта 2017 года специалисты компании Check Point передали информацию об уязвимостях в отделы по безопасности WhatsApp и Telegram. Разработчики WhatsApp и Telegram признали проблему и уже выпустили исправление для веб-клиентов по всему миру. Теперь пользователям WhatsApp и Telegram, которые хотят убедиться, что используют последнюю версию веб-клиента, рекомендуется перезапустить браузер.
Ниже можно увидеть демонстрацию обеих атак на видео.