Брешь в Discord позволяет обойти 2FA и получить контроль над аккаунтом

Брешь в Discord позволяет обойти 2FA и получить контроль над аккаунтом

Аккаунты пользователей Discord находятся в опасности — в сервисе обмена сообщениями была выявленная опасная уязвимость. Первые слухи относительно бреши в процессе аутентификации стали появляться вчера среди геймеров, использующих голосовые чаты в Discord для совместной игры.

К слову, геймерская аудитория Discord обусловлена наличием у сервиса собственного магазина игр и специальных инструментов, заточенных под игроков.

Уязвимость мессенджера затрагивает возможность аутентификации через соответствующий QR-код. Именно так геймеры заходят в свою учётную запись, например, на десктопе.

Злоумышленники могут использовать функцию сканирования QR-кода в своих целях. В результате успешной атаки полный контроль над аккаунтом жертвы переходит в руки преступника.

Для эксплуатации уязвимости атакующий должен отправить пользователю специальное сообщение, содержащее QR-код. При этом код сопровождается текстом: хакер утверждает, что пользователь может получить приз, просканировав пришедший QR-код.

Если жертва выполнит все инструкции злоумышленника, последний получит полный контроль над учётной записью Discord. Обратите внимание, что этот способ помогает обойти двухфакторную аутентификацию.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Apple закрыла эксплуатируемую в атаках дыру в старых iPhone и iPad

Apple портировала патчи прошлого месяца под старые модели iPhone и iPad. Владельцам «яблочных» устройств, работающих на iOS 15.x.x и iPadOS 15.x.x, настоятельно рекомендуется установить обновления, поскольку они закрывают активно эксплуатируемую уязвимость нулевого дня.

Речь идёт о бреши под идентификатором CVE-2023-23529. Согласно описанию, она затрагивает движок WebKit и связана с несоответствием используемых типов данных (type confusion). В середине февраля Apple закрыла эту дыру в актуальных версиях iOS, iPadOS, macOS и Safari.

Условный злоумышленник может воспользоваться CVE-2023-23529 для выполнения кода на девайсах под управлением iOS и iPadOS, а также привести к сбою в работе операционных систем.

Для эксплуатации достаточно будет заманить жертву на специальную веб-страницу (если речь о Safari, то баг затрагивает версию браузера и в десктопных ОС: macOS Big Sur и Monterey). Представители Apple уже подтвердили, что корпорация в курсе использования бреши в реальных кибератаках.

Владельцам стареньких моделей iPhone и iPad необходимо установить версии iOS 15.7.4 и iPadOS 15.7.4, чтобы обезопасить себя от действий киберпреступников. Другими словами, в зоне риска пользователи следующих устройств:

  • iPhone 6s (все модели)
  • iPhone 7 (все модели)
  • iPhone SE (первое поколение)
  • iPad Air 2
  • iPad mini (четвёртое поколение)
  • iPod touch (седьмое поколение)
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru