V-Key: Большинство мобильных приложений для аутентификации можно взломать

V-Key: Большинство мобильных приложений для аутентификации можно взломать

V-Key: Большинство мобильных приложений для аутентификации можно взломать

Сингапурская компания V-Key, специализирующаяся на безопасности софта, опубликовала результаты исследования, которые говорят об уязвимости большинства мобильных приложений для аутентификации. Несмотря на защиту со стороны аппаратной составляющей, вредоносы могут вмешаться в работу таких программ.

Многие приложения для аутентификации используют криптографические ключи для генерации специальных кодов, которые впоследствии применяются для идентификации пользователя.

Другими словами, каждое такое приложение можно привязать к «сокровищнице», доступ к которой открывают лишь определённые ключи. Если злоумышленник похитит эти ключи, он сможет обойти аутентификацию и даже подписать документы от лица пользователя. Именно поэтому, кстати, большинство разработчиков подобных мобильных приложений стараются использовать как можно более защищённые хранилища для ключей.

И многие девелоперы находят решение в «доверенной среде выполнения» (Trusted Execution Environment, TEE). В Android-смартфонах это StrongBox Keystore, в устройствах iPhone — Secure Enclave (вкупе со связкой ключей Keychain).

«К сожалению, есть серьёзная логическая уязвимость, которую могут использовать киберпреступники. Мы обнаружили, что вредоносные программы можно использовать для добычи ключей аутентификации жертвы. Особенно это актуально для смартфонов, прошедших джейлбрейк или рутинг. Мы называем эту уязвимость “Trust Gap”», — объясняет технический директор V-Key Ер Чан Кай.

Исследователи описывают пример эксплуатации бреши: некий пользователь привык полагаться на одно из приложений для аутентификации, генерирующее одноразовые пароли для 2FA. В какой-то момент этот пользователь натыкается на интересную игру для мобильных устройств или на полезный софт для добычи криптовалюты.

Без задней мысли такую игру установят на смартфон, а за ней будет скрываться вредонос, повышающий права в системе. Если вы привыкли доверять Android Keystore или iOS Secure Enclave, у специалистов для вас плохие новости: с помощью установленного в систему зловреда злоумышленник может украсть ключ аутентификации, а точнее — OTP-сид, секретный ключ токена.

После этого преступник уже сможет генерировать одноразовые пароли самостоятельно. Как выразились эксперты V-Key, теперь атакующий полностью владеет цифровой личностью жертвы. При этом целевое мобильное приложение для аутентификации не должно быть запущено или как-то задействоваться для эксплуатации.

ChatGPT начал возвращаться в WhatsApp после давления Евросоюза

ChatGPT снова заработал в WhatsApp (принадлежит корпорации Meta, признанной экстремисткой и запрещённой в России) у части пользователей. Похоже, европейским регуляторам всё-таки удалось слегка отодвинуть Meta от двери, которую компания раньше захлопнула перед чужими ИИ-ботами.

OpenAI впервые запустила ChatGPT в WhatsApp ещё в 2024 году. Пользователи могли переписываться с нейросетью как с обычным контактом — без отдельного приложения и лишних настроек.

Но затем Meta активно раскатала собственного ассистента по WhatsApp, Facebook и Instagram (принадлежат корпорации Meta, признанной экстремисткой и запрещённой в России), а в 2025 году изменила правила Business API. Новые условия фактически запретили сторонним компаниям распространять через платформу универсальные чат-боты. ChatGPT и другие конкуренты быстро оказались за бортом.

Евросоюзу такая зачистка не понравилась. Еврокомиссия начала антимонопольное расследование, заподозрив Meta в том, что она использует доминирующее положение WhatsApp для расчистки рынка под собственного ИИ. В итоге компанию обязали снова допустить конкурирующих чат-ботов к Business API.

Теперь, по данным Tweakers, ChatGPT вновь отвечает внутри WhatsApp. Правда, пока не у всех: одни пользователи могут добавить бота и нормально с ним общаться, у других контакт появляется, но упорно молчит.

Платная подписка ChatGPT для доступа не требуется. Неравномерный запуск может означать, что OpenAI возвращает интеграцию постепенно и пока тестирует её в отдельных регионах.

Meta и OpenAI официально связь возвращения ChatGPT с решением Евросоюза не подтвердили.

RSS: Новости на портале Anti-Malware.ru