События

Эксперт Positive Technologies помог устранить критически опасную уязвимость в Viber для Windows

Эксперт Positive Technologies помог устранить критически опасную уязвимость в Viber для Windows

Уязвимость Windows-клиента Viber, обнаруженная некоторое время назад группой исследователей информационной безопасности из России и Казахстана, в числе которых эксперт Positive Technologies, успешно устранена. Ошибка позволяла похищать технические данные для аутентификации пользователя под Windows.

«Суть атаки заключалась в том, что при отправке в чат ссылки вида http://host/img.jpg приложение сначала загружало ее от имени клиента, который осуществлял отправку, — и если по данному адресу содержалась картинка, то затем Viber пытался загрузить ее уже от имени принимающего клиента; схема не срабатывала, если клиент-инициатор не подтверждал наличие изображения по ссылке», — рассказывает Тимур Юнусов, руководитель отдела безопасности банковских систем Positive Technologies.

Если вместо изображения сервер отправлял сообщение с кодом 401 на второй запрос и запрашивал NTLM-аутентификацию вместо изображения, то приложение ее проводило.

Помимо разглашения NTLM-хеша, уязвимость позволяла совершать произвольные GET-запросы от имени атакуемого клиента. Это, к примеру, могло позволить осуществлять перепрограммирование домашних роутеров и других устройств.

«Атаку мог произвести только злоумышленник, чей номер мобильного телефона сохранен в списке контактов пользователя. Поэтому массовой атаки на пользователей Windows удалось избежать. Также заметим, что, как правило, для успешной атаки требуется совершить целую серию GET-запросов. Иными словами, злоумышленнику нужно отправить несколько ссылок потенциальной жертве. Около 6% из общего числа активных пользователей в России за последний месяц хотя бы один раз отправляли сообщение, использовали звонки или просматривали паблик-чат с устройств на Windows », — прокомментировали в пресс-службе Viber.

Уязвимость Windows-клиента Viber была устранена и отсутствует в обновленной версии Viber 6.7.2, которая уже доступна для загрузки.

Источник

Автор: Сергей Куприянов
29.05.2017 (10:10)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.