D e acuerdo con investigadores de Check Point , la falla de seguridad permite a los atacantes secuestrar y obtener el control total sobre las cuentas de los usuarios de los servicios de mensajería segura populares.
Si se explota, el tema crítico permite a los atacantes hacerse cargo de las cuentas de usuario en cualquier navegador, ver y manipular las sesiones de chat, y acceder al contenido, incluyendo imágenes, videos y audio, y permite a los hackers el acceso a las listas de contactos.
El miércoles, Check Point , dijo en un blog que el fallo de seguridad está presente en las versiones de navegadores de las aplicaciones, WhatsApp Web y Telegrama Web , en lugar de las aplicaciones móviles.
Como tal, sólo los usuarios de las versiones basadas en el navegador podrían haber sido afectados.
La vulnerabilidad se produce a través de la transferencia de archivos de imagen. Si un atacante envía un código malicioso pretendida víctima escondida dentro de un archivo de imagen supuestamente inocente y haga clic en él, los resortes de trampa - y el atacante es inmediatamente capaz de tener acceso completo a WhatsApp o almacenamiento de datos local de telegrama, que incluye cuenta de usuario información.
Para empeorar las cosas, el atacante puede enviar el archivo de imagen a cada uno en la lista de contactos de la víctima en un ataque generalizado, lo que podría, a su vez, significa que uno cuenta pirateada podría permitir a un atacante de permitir la transición a otras cuentas - con la condición de la los titulares de cuentas también están utilizando el servicio basado en navegador.
Check Point dice que el cifrado de extremo a extremo utiliza para proteger el contenido de los mensajes enviados a través de WhatsApp y telegrama, lo que hace que tanto los servicios popular, es también la debilidad que permitió el error grave como para pasar inadvertido en este caso.
Dado que los mensajes se cifran en el lado del remitente, WhatsApp y telegramas fueron ciegos a los contenidos, y eran, por lo tanto, incapaz de evitar que el contenido malicioso de ser enviado", dice el equipo.
Para evitar este problema ocurra de nuevo, ambos servicios serán ahora validar el contenido antes de la encriptación se lleva a cabo, que esperemos que detecta y elimina el código malicioso antes de que se envíen los mensajes.
"Esta nueva vulnerabilidad poner cientos de millones de WhatsApp web y usuarios de la Web del telegrama en riesgo de exposición completa se haga cargo", dice Oded Vanunu, jefe de investigación de vulnerabilidades de productos de Check Point. "Por el simple envío de una foto que parece inocente, un atacante podría lograr el control de la cuenta, historial de mensajes de acceso, todas las fotos que nunca fueron compartidos, y enviar mensajes en nombre del usuario."
WhatsApp atiende a más de mil millones de usuarios en todo el mundo, mientras que Telegrama ofrece más de 15 mensajes al día a por lo menos 100 millones de usuarios activos mensuales. Sin embargo, es crucial tener en cuenta que la vulnerabilidad de seguridad sólo afecta a las versiones basadas en navegadores de las aplicaciones, y no las alternativas móviles - que se encuentran en un espacio completamente diferente cuando se trata de vectores de seguridad cibernética, vulnerabilidades y ataques.
En declaraciones a ZDNet, Kenneth White , investigador de seguridad y co-director del proyecto de auditoría de Crypto Abierta (OCAP), señaló que el hecho de que una aplicación se considera ser seguro, el momento en que acceder a él desde un navegador normal, algunas de esas protecciones pueden ser despojado de distancia.
El experto en seguridad cree que esta divulgación de vulnerabilidades puede ser considerado como un "caso perfecto" para el "por qué aplicaciones de mensajería segura basada en navegador son un choque de trenes."
Ver investigadores Point dan a conocer el fallo de seguridad de los equipos de seguridad de WhatsApp y Telegram el 7 de marzo, y la falla de seguridad era conectaron rápidamente en los clientes web.
Como tal, no hay notificación de una actualización enviada directamente a los usuarios; En su lugar, los usuarios que quieren asegurarse de que están definitivamente utilizando las últimas versiones simplemente debe reiniciar su navegador.
"La razón por la que aún no hay actualizaciones para las aplicaciones es debido a que pueden solucionar el código de la página web de forma automática y también pueden interceptar cualquier persona mediante la actualización del código de forma automática y nadie nunca sabrían", señaló Blanco. "En el caso de la señal [otra aplicación de mensajería segura], la aplicación de Chrome es realmente una aplicación, simplemente escrito en JavaScript. Habría que actualizar de forma manual para los arreglos.
"Pero, de nuevo, ya que hay que actualizar manualmente, usted también no estar expuesto al atacante objetivo inyecta código de la aplicación falsa", dijo White.