Súlyos hiba tátongott a WhatsAppon
Biztonsági kutatók népszerű üzenetküldőkben tártak fel súlyos sérülékenységeket. A felhasználói fiókok teljes mértékben kiszolgáltatottá válhattak a hiba következtében.A támadók a sérülékenységek kihasználásával teljesen át tudták volna venni az uralmat a felhasználói fiókok felett, és hozzáférhettek volna az áldozatok személyes, illetve csoportos beszélgetéseihez, fotóihoz, videóihoz, címlistáihoz, valamint a megosztott fájlokhoz.
"E sérülékenység révén a WhatsApp Web és a Telegram Web felhasználók százmillióinak fiókja felett volt átvehető az irányítás. Akár egyetlen, látszólag ártalmatlan fotó elküldése megnyithatta az utat a támadó előtt, aki átvehette a hatalmat a teljes fiók felett" - mondta Oded Vanunu, a Check Point termékigazgatója.
A sérülékenységen keresztül a támadó az áldozatnak egy rosszindulatú kódot küldhetett, amit egy képbe csempészhetett. Amint erre a felhasználó rákattintott, akkor az elkövető teljes hozzáférést kapott a WhatsApp vagy a Telegram fiókhoz. A kockázatokat fokozta, hogy a támadó az ártalmas kódját az áldozata címlistáján keresztül eljuttathatta további felhasználókhoz is, így a szélesebb körű támadások lehetőségét sem lehetett kizárni.
A Check Point a felfedezéséről március 8-án értesítette a WhatsApp és a Telegram biztonsági csapatát. A szakemberek megerősítették a biztonsági rés létezését, és rögtön megtették a szükséges intézkedéseket. Így a sebezhetőség már nem jelent veszélyt.
"Szerencsére a WhatsApp, valamint a Telegram gyorsan és felelősségteljesen reagált annak érdekében, hogy minimalizálja a kockázatokat" - vélekedett Oded Vanunu.
A titkosítás árnyoldalai
A WhatsApp és a Telegram is végponttól végpontig terjedő üzenettitkosítást használ. Ezzel biztosítja, hogy csak a kommunikációban résztvevő felhasználók tudják elolvasni az üzeneteket. Azonban éppen ez a titkosítás volt az, amit ki lehetett használni a támadások során. Mivel az üzenetek titkosítása a feladónál történik, a WhatsApp és a Telegram nem fér hozzá azok tartalmához, tehát nem tudja megakadályozni, hogy rosszindulatú kódot küldjön a felhasználó. A sérülékenység javítása óta viszont még titkosítás előtt jóváhagyja a rendszer a tartalmakat, ezzel lehetővé téve a rosszindulatú fájlok blokkolását.
A felhasználóknak nincs teendőjük, a hibajavítás a böngésző újraindítását követően automatikusan érvényre jutott.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
-
A Microsoft Edge legújabb verziója számos sebezhetőséget szüntet meg.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.