Forskere i Check Point Security har avdekket et angrep mot lynmeldingstjenestene Telegram og WhatsApp.
Kunne lure brukerne med bilder
Det nye angrepet er målrettet mot hvordan begge tjenestene prosesserer bilder og multimediefiler. I et blogginnlegg skriver sikkerhetsselskapet hvordan de klarte å lage et ondsinnet bilde som i forhåndsmodus så helt normalt ut, men videresender brukerne til en HTML-side fylt med skadevare.
«Ved kun å sende et bilde som ser helt uskyldig ut, kan en angriper få kontroll over kontoen og tilgang til meldingshistorikken, samtlige bilder som er blitt delt og sendte meldinger fra brukeren», skriver Oded Vanunu, sjef for forskning på produktsvakheter i Check Point.
Merk at det er nettleserutgavene av lynmeldingstjenestene som var målet.
Annonse
Vanskeligere på Telegram
Det skal ha vært vanskeligere å utnytte svakheten på Telegram, ifølge sikkerhetsforskerne. Her er det snakk om en video som er nødt til å åpnes i en separat Chrome-fane for at angriperne skulle lure seg inn.
I et blogginlegg beskriver Telegram dette som en «meget uvanlig brukerhandling», og at ingen kan ta over kontoen din ved kun å sende et bilde.
«Vi bygger WhatsApp for å holde personene og deres informasjon sikker. Da Check Point rapporterte om feilen, adresserte vi det i løpet av en dag og lanserte en oppdatering for WhatsApp på nett. Start nettleseren din på nytt for å sikre at du har den nyeste versjonen», uttaler WhatsApp til The Verge.
Begge tjenestene ble informert om svakheten 8. mars og begge har tettet hullet.
Kilder:
Check Point,
The Verge
Annonse
