Telegram устранил баг компрометации аккаунта через голосовую почту

Telegram устранил баг компрометации аккаунта через голосовую почту

Разработчики Telegram устранили в мессенджере уязвимость, благодаря которой киберпреступники могли использовать голосовую почту для получения контроля над учётными записями пользователей.

Метод, получивший название «voicemail hack», использовался в атаках на аккаунты Telegram, принадлежащие политическим деятелям Бразилии. Эксперты сообщают, что более тысячи таких учетных записей были скомпрометированы в ходе этой кибероперации.

Среди жертв недавних атак оказались такие крупные фигуры, как президент Бразилии Жаир Болсонару и министр юстиции Серджио Моро.

Принцип техники «voicemail hack» основывается на верификации аккаунта Telegram на новом устройстве. На этом этапе пользователь может выбрать подтверждение учётной записи про помощи короткого кода, который сообщают в голосовом сообщении.

Если пользователь не ответил на звонок три раза подряд, короткий код ему отправят на голосовую почту, предусмотренную оператором связи.

В этом случае киберпреступники использовали сервисы VoIP для имитации номера жертвы, получали доступ к голосовой почте с помощью паролей 0000 или 1234 (жертвы их редко меняли) и вытаскивали короткий код для верификации.

С помощью этого кода атакующие добавляли ещё один аккаунт Telegram себе на устройство.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

WhatsApp не удаляет ваши файлы у собеседников, использующих iPhone

Функция WhatsApp, позволяющая удалить ваши сообщения у собеседников, как оказалось, не до конца отрабатывает на iPhone, оставляя отправленные медиафайлы на смартфонах от Apple. Представители мессенджера заявили, что не считают это уязвимостью.

Напомним, что разработчики внедрили возможность удалить отправленное по ошибке сообщение для собеседника два года назад. С тех пор многих пользователей не раз выручала данная функция.

Если вы ошиблись адресатом, WhatsApp даёт вам 1 час 8 минут и 16 секунд на его удаление для всех участников чата.

Однако в случае с iPhone мессенджер не удаляет медиафайлы, сохранённые на смартфоне. Если же участники беседы используют Android, отправленные ошибочно файлы будут удалены с устройства.

Проблему конфиденциальности обнаружил исследователь Шитеш Сачан, консультант в области безопасности приложений.

Баг проявляет себя в том случае, когда у получателя, использующего iPhone, установлены настройки WhatsApp по умолчанию — сохранять принимаемые медиафайлы на устройстве. Стоит отметить, что эти настройки редко кто меняет.

Команда безопасности WhatsApp заявила эксперту, что вышеозначенная функция призвана удалить сообщение в чате. А застраховать от различных нестандартных ситуаций — сохранения файлов вручную, снятия скриншота чата — она не может.

Похожий баг недавно был обнаружен у главного конкурента WhatsApp — Telegram. Оказалось, что получатель мог просмотреть содержимое сообщения даже после его удаления.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru