Уязвимости в WhatsApp позволяют удаленно взломать телефон.

В версии популярного мессенджера WhatsApp для Android были обнаружены две опасные уязвимости. Их эксплуатация позволяет удаленно выполнить вредоносный код на устройстве и похитить конфиденциальную информацию. Проблемы затрагивают устройства под управлением всех версий до Android 9 включительно и связаны с тем, как ПО обменивается конфиденциальными данными с внешним хранилищем устройства.

«Уязвимости в WhatsApp позволяют удаленно похищать криптографические данные TLS-протокола для сеансов TLS 1.3 и TLS 1.2. Имея под рукой секреты TLS, проведение MitM-атаки может привести к компрометации коммуникаций WhatsApp, удаленному выполнению кода на устройстве жертвы и хищению используемых ключей протокола Noise для сквозного шифрования», — пояснили эксперты из Census Labs.

В частности, одна из уязвимостей ( CVE-2021-24027 ) использует поддержку Chrome для поставщиков контента в Android (через схему URL-адреса «content://») и уязвимость обхода политики в браузере ( CVE-2020-6516 ), тем самым позволяя злоумышленнику отправить жертве специально созданный HTML-файл через WhatsApp, который при открытии в браузере выполняет код. Вредоносный код может использоваться для доступа к любому ресурсу в незащищенной внешней области хранения, включая ресурсы WhatsApp и данные ключа TLS-сеанса в подкаталоге.

Вооружившись ключами, злоумышленник может затем организовать MitM-атаку для удаленного выполнения кода или даже хищения пары ключей протокола Noise, которые используются для управления зашифрованным каналом связи между клиентом и сервером на транспортном уровне безопасности.

Когда возникает подобный сбой в работе, механизм отладки WhatsApp загружает закодированные пары ключей вместе с логами приложений, системной информацией и другим содержимым памяти на выделенный сервер логов сбоев (crashlogs.whatsapp.net). Хотя процесс отладки предназначен для перехвата критических проблем в приложении, MitM-атака инициирует данную загрузку только для того, чтобы перехватить соединение и «раскрыть всю конфиденциальную информацию, предназначенную для отправки во внутреннюю инфраструктуру WhatsApp».

Специалистам неизвестно, использовались ли уязвимости в реальных атаках. Пользователям WhatsApp рекомендуется обновиться до версии 2.21.4.18, устраняющей уязвимости.

InternetUA

https://internetua.com/

Новости по теме
Российских бюджетников сгоняют к тестированию онлайн-голосования партии Путина.

Российских бюджетников сгоняют к тестированию онлайн-голосования партии Путина.

Пятница, 7 мая, станет последним днем для подачи заявок на участие в тестировании системы электронного голосования, которая будет использоваться на сентябрьских выборах в Госдуму.

InternetUA

Xiaomi Redmi Note 10S получил глобальную прошивку MIUI 12.

Xiaomi Redmi Note 10S получил глобальную прошивку MIUI 12.

Китайская компания Xiaomi с опозданием почти месяц начала рассылать программное обеспечение MIUI 12.5 на глобальном рынке. Все мы ждали, что первыми её получат смартфоны флагманского уровня, но начал производитель из Поднебесной из модели среднебю...

InternetUA

Новости Украины: Когда Украина станет членом ЕС?

Новости Украины: Когда Украина станет членом ЕС?

#новости​ #новостионлайн​ #новостиукраины #новини​ #свежиеновости​ #новостимира UA - Голова комітету із закордонних справ Сейму Литви Жигімантас Павіліоніс в ефірі "Право на владу" відповів на питання "коли Україна стане членом ЄС?". До сих пор не...

Новости Украины: США помогут Украине с вакцинами от COVID-19.

Новости Украины: США помогут Украине с вакцинами от COVID-19.

#новости​ #новостионлайн​ #новостиукраины #новини​ #свежиеновости​ #новостимира UA - Глава МЗС Дмитро Кулеба в ефірі ток-шоу "Право на владу" розповів, що є позитивні сигнали про те, що США допоможуть Україні з вакцинами. До сих пор не подписаны н...

Новости Украины: Когда и где Россия вторгнется в Украину?.

Новости Украины: Когда и где Россия вторгнется в Украину?.

#новости​ #новостионлайн​ #новостиукраины #новини​ #свежиеновости​ #новостимира UA - Екс-радник президента РФ Путіна Андрій Ілларіонов розповів, коли і де, на його думку, Росія вторгнеться в Україні. До сих пор не подписаны на УНИАН в Telegram? RU...

Крым. Бронь отменяют, отдых дорожает - Крымский вечер

Крым. Бронь отменяют, отдых дорожает - Крымский вечер

Владельцы ряда средств размещений в Крыму в одностороннем порядке принялись аннулировать бронирования, оформленные в начале года, сообщил сервис TVIL.TU. Они объяснили это тем, что им невыгодно обслуживать клиентов по ценам зимы и начала весны тек...

Павел Климкин:  «Путин не выиграл, но и не проиграл».

Павел Климкин: «Путин не выиграл, но и не проиграл».

#новости​ #новостионлайн​ #новостиукраины #новини​ #свежиеновости​ #новостимира UA - Екс-міністр закордонних справ України Павло Клімкін висловив думку, що Путін не виграв в Україні, але поки і не програв. До сих пор не подписаны на УНИАН в Telegr...

Новости Украины: США поддерживает вступление Украины в НАТО.

Новости Украины: США поддерживает вступление Украины в НАТО.

#новости​ #новостионлайн​ #новостиукраины #новини​ #свежиеновости​ #новостимира UA - Представник Білого дому зробив заяву про те, що адміністрація США підтримує вступ України в НАТО. Прем'єр-міністр вважає, що це один із результатів візиту Блінкен...

1 1