VipThings

НОВОЕ РУКОВОДСТВО ПО SD-WAN


Зайти с флангов

Эксперты фирмы Talos проанализировали три защищенных мессенджера и пришли к выводу, что они уязвимы к выводу данных через побочные каналы. WhatsApp, Telegram и Signal обеспечивают сквозное шифрование данных при передаче, но есть масса способов получить доступ к этим данным и без перехвата шифрованных соединений.

В своем исследовании эксперты Talos отмечают, что об этих приложениях сложилось мнение как о безопасных и даже устойчивых против хакерских атак. Пользователи доверяют этим утверждениям, не учитывая того, что при некоторых вариантах настроек личные данные юзеров могут быть защищены отнюдь не настолько хорошо, насколько те рассчитывают.

Учитывая, разработчики этих приложений утверждают, что ими пользуются миллионы, очевидно, что далеко не все пользователи являются знатоками вопросов кибербезопасности. Большинство из них не до конца понимает риски и ограничения, которые налагают некоторые варианты настроек этих приложений. Обеспечение защиты личных данных пользователя - это гораздо больше, чем просто технология; это и предоставление пользователю корректной информации в таком ключе, что они могут осознавать риски от своих решений, даже не являясь экспертами по безопасности, - говорится в публикации Talos.

Далее отмечается, что большинство мессенджеров позиционируются как кроссплатформенные, при этом пользователи верят, что степень защищенности во всех средах будет одинаковой. На деле это не совсем так.

На практике

Эксперты Talos выделили ряд проблем с конкретными мессенджерами.

Telegram, Signal и WhatsApp уязвимы перед перехватом сеанса на десктопах. Т.е. если злоумышленнику удалось заранее взломать компьютер жертвы, а та использует его для коммуникаций с помощью мессенджеров, то у хакера есть возможность перехватывать токены сеансов и читать теперь уже не очень защищенную переписку.

Несмотря на сквозное шифрование в WhatsApp, Telegram и Signal, существует масса способов получить доступ к данным в мессенджерах

В случае Telegram, когда злоумышленник использует украденную информацию о сеансе, устанавливается дополнительное соединение; у пользователя есть возможность проверить количество сеансов, но как это сделать, знает далеко не каждый юзер, вдобавок никаких специальных уведомлений о новых сеансах в Telegram не выводится.

В Signal ситуация обстоит несколько иначе: если злоумышленник перехватил данные о сеансе и использует их в своем клиентском приложении, сеансы легитимного пользователя и злоумышленника будут пихаться локтями, так что на десктопе начнут выскакивать ошибки. Но к этому моменту у злоумышленника в распоряжении уже все контактные данные и содержание неудаленных переписок. Вдобавок в мобильной версии никаких ошибок и предупреждений выводиться не будет.

У злоумышленника также есть возможность удалить все активные сеансы, так что жертва при новом соединении получит уведомление о необходимости заново спарить мобильное устройство и компьютер. Для эксперта по безопасности это будет тревожным сигналом. Но не для обычного пользователя, который сочтет это случайным сбоем.

В WhatsApp в случае дублирования сеансов выводится соответствующее предупреждение, так что если злоумышленник пытается подключиться, используя данные об украденном сеансе, жертва об этом узнает... но скорее всего, к этому моменту злоумышленник уже успеет стянуть все интересующие его данные или что-нибудь написать от имени жертвы.

Реализованный механизм предупреждения вдобавок содержит ряд ошибок, которые позволяют обойти его. Для этого злоумышленнику потребуется сделать пять шагов: деактивировать клиентское приложение на машине жертвы, запустить WhatsApp на своем мобильном устройстве, используя украденные данные о сеансе, отключить сетевой адаптер на локальной машине, запустить WhatsApp на машине жертвы, активировать сетевой адаптер на машине жертвы.

Telegram также уязвим перед затенением мобильного сеанса (mobile session shadowing) на мобильном устройстве. Фундаментальная проблема, по словам экспертов Talos, состоит в том, что Telegram позволяет теневым сеансам сосуществовать на одном и том же устройстве и использовать один и тот же телефонный номер, но при этом ими можно пользоваться из разных приложений.

Это означает, что злоумышленник может втихую читать все сообщения и просматривать все контакты в Telegram, пока сеанс активен. А в мобильных версиях сеанс может оставаться активным неограниченно долго.

Плюс существует вредоносное Android-приложение, которое может создавать теневой сеанс без участия пользователя; ему достаточно будет получить привилегии на чтение SMS и закрытие фоновых процессов. Такие привилегии не считаются угрозой, и приложения, их требующие, легко могут пройти проверку в Google Play.

В конечном счете, преступник может получить доступ к списку контактов, всем прошлым и будущим сообщениям, кроме тех, которые отправляются в формате секретных чатов.

Декларации о защищенности того или иного канала коммуникации совершенно не означают, что нельзя найти способы обойти всю его защиту, - считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - К сожалению, пользователи действительно склонны слишком полагаться на обещания и заверения разработчиков мессенджеров и не вникать в нюансы, даже когда этого требуют соображения собственной безопасности.

 

Другие новости этого раздела

Российский стартап по управлению патентами через интернет привлек 22 миллиона

Онлайн патент получил деньги Инвестиционные структуры Moscow Seed Fund и Starta Ventures вложили 22 млн. руб. в проект Онлайн патент. Проект фокусируется на автоматизации управления объектами интеллектуальной собственности. Moscow Seed Fund инвестировал 12 млн. руб., Starta Ventures - 10 млн руб. Деньги будут потрачены на развитие линейки продуктов для управления промышленной собственностью...

 

НОВОЕ РУКОВОДСТВО ПО SD-WAN

Законопроект о защите российского интернета В Госдуму внесен законопроект, нацеленный на защиту российского сегмента интернета от кибератак. Документ разработан депутатом Андреем Луговым и сенаторами Людмилой Боковой и Андреем Клиншасом. Законопроект в виде поправок в законы О связи и О связи, информационных технологиях и защите информации предоставляет Роскомнадзору серьезные полномочиями по контролю за интернет-трафиком и деятельностью интернет-провайдеров...

 

В России более года тормозится уникальное дело о вскрытии чиновниками электронной почты подчиненных

Заверенное вскрытие почты Как выяснил CNews, в России уже более года затягивается возбуждение уголовного дела о вскрытии служебной электронной почты сотрудников подведомственного Минкомсвязи ФГБУ Центр экспертизы и координации информатизации (ЦЭКИ) - организации, хорошо знакомой ИТ-подразделениям федеральных госорганов в силу ее участия в процессе утверждения ими планов ведомственной информатизации...

 

Европа отказалась запускать спутники с Восточного

Европейская компания Arianespace отказалась от предложения Роскосмоса запустить в 2019 году два спутника OneWeb с космодрома Восточный. Об этом сообщил РИА Новости источник в ракетно-космической отрасли.На 2019 год был такой план по программе OneWeb: два пуска с космодрома Куру во Французской Гвиане в первом и четвертом кварталах и четыре пуска с космодрома Байконур - один в третьем и три в четвертом кварталах, - сказал источник...

 

Яндекс, Mail.ru и Мегафон объединились, чтобы повлиять на закон о такси

Замечания Яндекс.такси и Ситимобила У сервисов организации поездок Яндекс.такси и Ситимобил есть замечания к закону об агрегаторах такси, который Госдума вчера приняла в первом чтении. Компаниям удалось выработать общую позицию и сформулировать три дополнения к законопроекту. Напомним, 18% сервиса Ситимобил принадлежит компании Mail.ru, еще 16% - сотовому оператору Мегафон. Во-первых, Яндекс...

 

Все новости в разделе