Что нового
  • Что бы вступить в ряды "Принятый кодер" Вам нужно:
    Написать 10 полезных сообщений или тем и Получить 10 симпатий.
    Для того кто не хочет терять время,может пожертвовать средства для поддержки сервеса, и вступить в ряды VIP на месяц, дополнительная информация в лс.

  • Пользаватели которые будут спамить, уходят в бан без предупреждения. Спам сообщения определяется администрацией и модератором.

  • Гость, Что бы Вы хотели увидеть на нашем Форуме? Изложить свои идеи и пожелания по улучшению форума Вы можете поделиться с нами здесь. ----> Перейдите сюда
  • Все пользователи не прошедшие проверку электронной почты будут заблокированы. Все вопросы с разблокировкой обращайтесь по адресу электронной почте : info@guardianelinks.com . Не пришло сообщение о проверке или о сбросе также сообщите нам.

Исследователи Обнаружили Уязвимость В Веб-клиентах Whatsapp И Telegram

Sascha

Заместитель Администратора
Команда форума
Администратор
Регистрация
9 Май 2015
Сообщения
1,071
Баллы
155
Возраст
51
WhatsApp и Telegram исправили уязвимость в веб-клиентах своих мессенджеров, обнаруженную израильской фирмой Check Point. Она позволяла злоумышленникам получить доступ к аккаунту пользователя, следить за общением и похищать данные.

По данным исследователей, уязвимость заключалась в том, что злоумышленники могли загружать и отправлять опасный код, спрятанный в HTML-файлах. Оба мессенджера показали бы превью-изображение для таких ссылок, и пользователь решил бы, что сейчас откроет видео или картинку.

Как это работает?


После того, как пользователь нажимает на ссылку, исполняется зловредный JavaScript-код, содержащийся в HTML-файле, который ворует данные из хранилища localStorage браузера пользователя. Если не вдаваться в подробности, localStorage — это локальное хранилище, в котором хранятся данные веб-приложения (подробнее об этом можно узнать в

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

). В localStorage веб-клиентов WhatsApp и Telegram обычно содержатся список друзей, история переписки и последние переданные файлы.

А как же мобильные клиенты?


В зависимости от навыков злоумышленника, он может извлечь эти данные localStorage, а может и использовать JS-код для отправки веб-клиентам новых команд. Например, зловредный код может заменить содержимое localStorage на фальшивые ссылки и сообщения, которые пользователь примет за настоящие. Кроме того, поскольку эти сообщения автоматически синхронизируются с мобильным клиентом жертвы, такой способ атаки можно использовать и для совершения атак на мобильные устройства.



Но теперь мессенджеры в безопасности?


Check Point оповестила WhatsApp и Telegram об этой уязвимости неделю назад. Обе компании исправили её на сервере — пользователям даже не пришлось ничего делать. Теперь мессенджеры проверяют содержимое пересылаемых файлов до процесса шифрования, а не после, как было раньше.

О подробностях атаки можно узнать в

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

.


Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

.
 
Вверх