События

WhatsApp, Telegram и Signal уязвимы к атакам по сторонним каналам

Исследователи из Cisco Talos сообщили об уязвимостях в популярных мессенджерах, использующих шифрование. По словам специалистов, WhatsApp, Telegram и Signal можно взломать с помощью атак по сторонним каналам.

Защищенные мессенджеры возлагают часть функций по обеспечению конфиденциальности переписки на операционную систему, что упрощает задачу киберпреступникам.

«Суть защищенных приложений для общения заключается в том, что весь пересылаемый между пользователями контент шифруется без участия третей стороны. […] Для обеспечения сквозного шифрования эти приложения либо сами разработали протокол, либо используют сторонний», - пишут эксперты.

Большинство приложений используют разработанный организацией Open Whisper Systems протокол с открытым исходным кодом Signal или его варианты. Telegram работает на базе собственного закрытого протокола TM. Однако эти протоколы обеспечивают шифрование данных только в процессе передачи, но не во время их обработки или после получения конечным пользователем.

По словам исследователей, к атакам уязвимы и другие функции, например, хранилище данных, фреймворк пользовательского интерфейса, а также механизмы и развертывание групп. В частности, Telegram уязвим к перехвату сеанса на ПК. Хотя дополнительный сеанс будет виден в настройках, среднестатистический пользователь вряд ли его заметит.

WhatsApp и Signal также уязвимы к перехвату сеанса на ПК. В случае с Signal перехват сеанса вызовет так называемое «состояние гонки» («race condition»), и жертва получит сообщение об ошибке. Среднестатистический пользователь может принять его за рядовое уведомление и не придать значения, тогда как атакующему откроется доступ к переписке и контактам.

В случае с WhatsApp жертва также получит уведомление о попытке злоумышленника установить дополнительный сеанс. Пользователь может отклонить попытку, однако в этот промежуток времени у атакующего будет доступ к его предыдущим перепискам и контактам.

Помимо прочего, Telegram также уязвим к «затенению сеанса» («session shadowing») на мобильном устройстве. Используя вредоносное Android-приложение, злоумышленник может получить доступ к данным переписки и контактам жертвы.

Источник

Автор: Сергей Куприянов
13.12.2018 (12:09)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome

Все права защищены © 2010-2024

"alterprogs.com" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.com. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.