Експерти Talos проаналізували три захищені месенджери - WhatsApp, Telegram і Signal і дійшли висновку, що вони вразливі
Експерти Talos проаналізували три захищені месенджери - WhatsApp, Telegram і Signal і дійшли висновку, що вони вразливі
Експерти Talos проаналізували три захищені месенджери і дійшли висновку, що вони вразливі до виведення даних через «побічні канали». WhatsApp, Telegram і Signal забезпечують наскрізне шифрування даних під час передачі, але є безліч способів отримати доступ до цих даних і без перехоплення шифрованих з'єднань.
У своєму дослідженні експерти Talos зазначають, що про ці додатки склалася думка як про безпечні і навіть «стійкі проти атак хакерів». Користувачі довіряють цим твердженням, не враховуючи те, що за деяких варіантах налаштувань особисті дані користувачів можуть бути захищені зовсім на настільки добре, наскільки ті розраховують.
«Враховуючи, що розробники цих додатків стверджують, що ними користуються мільйони, очевидно, що не всі користувачі є знавцями питань кібербезпеки. Більшість із них не до кінця розуміє ризики та обмеження, які накладають деякі варіанти налаштувань цих додатків. Забезпечення захисту особистих даних користувача - це набагато більше, ніж технологія; це і надання користувачеві коректної інформації в такому ключі, що вони можуть усвідомлювати ризики від своїх рішень, навіть не будучи експертами з безпеки», - йдеться у публікації Talos.
Далі зазначається, що більшість месенджерів позиціонуються як кросплатформні, при цьому користувачі вірять, що ступінь захищеності у всіх середовищах буде однаковим. Насправді це не зовсім так.
Експерти Talos виділили низку проблем із конкретними месенджерами.
Telegram, Signal та WhatsApp уразливі перед перехопленням сеансу на десктопах. Тобто. якщо зловмиснику вдалося заздалегідь зламати комп'ютер жертви, а та використовує його для комунікацій за допомогою месенджерів, то хакер має можливість перехоплювати токени сеансів і читати тепер уже не дуже захищене листування.
У випадку Telegram, коли зловмисник використовує вкрадену інформацію про сеанс, встановлюється додаткове з'єднання; Користувач має можливість перевірити кількість сеансів, але як це зробити, знає далеко не кожен користувач, ще ніяких спеціальних повідомлень про нові сеанси в Telegram не виводиться.
У Signal ситуація дещо інакше: якщо зловмисник перехопив дані про сеанс і використовує їх у своєму клієнтському додатку, сеанси легітимного користувача та зловмисника будуть «пхатися ліктями», так що на десктопі почнуть вискакувати помилки. Але на цей момент у зловмисника у розпорядженні вже все контактні дані та зміст невіддалених листування. До того ж у мобільній версії жодних помилок та попереджень виводитися не буде.
У зловмисника також є можливість видалити всі активні сеанси, тому жертва при новому з'єднанні отримає повідомлення про необхідність заново спарити мобільний пристрій та комп'ютер. Для експерта з питань безпеки це буде тривожним сигналом. Але не для звичайного користувача, який визнає це випадковим збоєм.
У WhatsApp у разі дублювання сеансів виводиться відповідне попередження, так що якщо зловмисник намагається підключитися, використовуючи дані про вкрадений сеанс, жертва про це дізнається... але швидше за все, до цього моменту зловмисник вже встигне стягнути всі дані, що його цікавлять, або що -небудь написати від імені жертви.
Реалізований механізм попередження також містить ряд помилок, які дозволяють обійти його. Для цього зловмиснику потрібно зробити п'ять кроків: деактивувати клієнтську програму на машині жертви, запустити WhatsApp на своєму мобільному пристрої, використовуючи вкрадені дані про сеанс, відключити мережний адаптер на локальній машині, запустити WhatsApp на машині жертви, активувати мережний адаптер на машині жертви. >
Telegram також уразливий перед "затіненням мобільного сеансу" (mobile session shadowing) на мобільному пристрої. Фундаментальна проблема, за словами експертів Talos, полягає в тому, що Telegram дозволяє «тіньовим» сеансам співіснувати на тому самому пристрої і використовувати один і той же телефонний номер, але при цьому ними можна користуватися з різних додатків.
Це означає, що зловмисник може потай читати всі повідомлення і переглядати всі контакти в Telegram, поки сеанс активний. А в мобільних версіях сеанс може залишатися активним необмежено довго.
Плюс існує шкідливий Android-додаток, який може створювати «тіньовий» сеанс без участі користувача; йому достатньо буде отримати привілеї на читання SMS та закриття фонових процесів. Такі привілеї не вважаються загрозою, і програми, що їх вимагають, можуть легко пройти перевірку в Google Play.
Зрештою, злочинець може отримати доступ до списку контактів, усіх минулих та майбутніх повідомлень, крім тих, які надсилаються у форматі «секретних чатів».
«Декларації про захищеність того чи іншого каналу комунікації зовсім не означають, що не можна знайти способи обійти його захист, - вважає експерт з інформаційної безпеки компанії SEC Consult Services. - На жаль, користувачі дійсно схильні надто покладатися на обіцянки та запевнення розробників месенджерів і не вникати у нюанси, навіть коли цього вимагають міркування власної безпеки».
