WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
WhatsApp, Telegram vá lỗ hổng tấn công tài khoản
Một lỗ hổng được tìm thấy trong các phiên bản Web của WhatsApp và Telegram có thể đã bị khai thác để tấn công các tài khoản bằng cách gửi đến người dùng mục tiêu một tệp HTML độc hại giả mạo một hình ảnh hoặc một video.
Lỗ hổng do các nhà nghiên cứu tại Check Point phát hiện hồi đầu tháng 3 và nhanh chóng được vá bởi cả Telegram và WhatsApp trên máy chủ.
Theo các chuyên gia, tin tặc có thể tận dụng lỗ hổng để kiểm soát hoàn toàn tài khoản của người dùng, bao gồm các cuộc trò chuyện cá nhân và nhóm, hình ảnh, video và danh sách liên lạc. Hacker không chỉ có thể đánh cắp thông tin, mà còn tương tác với danh bạ của nạn nhân (ví dụ như gửi thư rác, chiếm đoạt tài khoản của họ bằng phương pháp tương tự).
Telegram và WhatsApp cho phép người dùng gửi nhiều loại tệp tin vào danh bạ của họ, bao gồm tài liệu, tệp âm thanh, video và hình ảnh. Người dùng thường bị chặn không cho gửi các loại tệp trái phép nhưng các nhà nghiên cứu đã tìm ra cách vượt qua những hạn chế này và tải lên tệp HTML độc hại bằng thay đổi “MIME type” và làm cho tệp xuất hiện dưới dạng tệp tin hợp lệ.
Các chuyên gia đã trình bày các phát hiện của họ bằng cách sử dụng một tệp hình ảnh giả mạo trong trường hợp của WhatsApp và một video giả mạo trong trường hợp của Telegram.
Khi người dùng mở hình ảnh giả mạo hoặc video giả mạo trong một tab trình duyệt mới, dữ liệu lưu trữ cục bộ liên quan đến ứng dụng nhắn tin trò chuyện sẽ được gửi cho kẻ tấn công, cho phép chúng kiểm soát tài khoản.
Các nhà nghiên cứu giải thích: "Để làm điều đó, kẻ tấn công tạo một đoạn mã JavaScript cứ 2 giây lại kiểm tra xem có dữ liệu mới trong backend và thay thế bộ lưu trữ nội bộ với bộ lưu trữ nội bộ của nạn nhân.
Trong trường hợp của WhatsApp, nạn nhân thường được cảnh báo về việc có nhiều hơn một phiên làm việc. Tuy nhiên, mã độc hại của kẻ tấn công có thể khiến cửa sổ trình duyệt của nạn nhân bị đơ. Hacker có thể duy trì quyền truy cập vào tài khoản của nạn nhân cho đến khi họ đăng xuất - chỉ đóng trình duyệt không thôi không thể ngăn chặn kẻ tấn công.
Telegram cho phép nhiều phiên làm việc hoạt động, có nghĩa là nạn nhân sẽ không được cảnh báo nếu một người dùng trái phép đăng nhập vào tài khoản của họ cùng một lúc.
Bkav khuyến cáo người dùng không nên mở các file do người lạ gửi. Trong trường hợp đã nhận và mở file được gửi từ người lạ, người dùng nên ngay lập tức thay đổi mật khẩu đồng thời logout tài khoản WhatsApp, Telegram trên các thiết bị đã từng đăng nhập.
Lỗ hổng do các nhà nghiên cứu tại Check Point phát hiện hồi đầu tháng 3 và nhanh chóng được vá bởi cả Telegram và WhatsApp trên máy chủ.
Theo các chuyên gia, tin tặc có thể tận dụng lỗ hổng để kiểm soát hoàn toàn tài khoản của người dùng, bao gồm các cuộc trò chuyện cá nhân và nhóm, hình ảnh, video và danh sách liên lạc. Hacker không chỉ có thể đánh cắp thông tin, mà còn tương tác với danh bạ của nạn nhân (ví dụ như gửi thư rác, chiếm đoạt tài khoản của họ bằng phương pháp tương tự).
Telegram và WhatsApp cho phép người dùng gửi nhiều loại tệp tin vào danh bạ của họ, bao gồm tài liệu, tệp âm thanh, video và hình ảnh. Người dùng thường bị chặn không cho gửi các loại tệp trái phép nhưng các nhà nghiên cứu đã tìm ra cách vượt qua những hạn chế này và tải lên tệp HTML độc hại bằng thay đổi “MIME type” và làm cho tệp xuất hiện dưới dạng tệp tin hợp lệ.
Các chuyên gia đã trình bày các phát hiện của họ bằng cách sử dụng một tệp hình ảnh giả mạo trong trường hợp của WhatsApp và một video giả mạo trong trường hợp của Telegram.
Khi người dùng mở hình ảnh giả mạo hoặc video giả mạo trong một tab trình duyệt mới, dữ liệu lưu trữ cục bộ liên quan đến ứng dụng nhắn tin trò chuyện sẽ được gửi cho kẻ tấn công, cho phép chúng kiểm soát tài khoản.
Các nhà nghiên cứu giải thích: "Để làm điều đó, kẻ tấn công tạo một đoạn mã JavaScript cứ 2 giây lại kiểm tra xem có dữ liệu mới trong backend và thay thế bộ lưu trữ nội bộ với bộ lưu trữ nội bộ của nạn nhân.
Trong trường hợp của WhatsApp, nạn nhân thường được cảnh báo về việc có nhiều hơn một phiên làm việc. Tuy nhiên, mã độc hại của kẻ tấn công có thể khiến cửa sổ trình duyệt của nạn nhân bị đơ. Hacker có thể duy trì quyền truy cập vào tài khoản của nạn nhân cho đến khi họ đăng xuất - chỉ đóng trình duyệt không thôi không thể ngăn chặn kẻ tấn công.
Telegram cho phép nhiều phiên làm việc hoạt động, có nghĩa là nạn nhân sẽ không được cảnh báo nếu một người dùng trái phép đăng nhập vào tài khoản của họ cùng một lúc.
Bkav khuyến cáo người dùng không nên mở các file do người lạ gửi. Trong trường hợp đã nhận và mở file được gửi từ người lạ, người dùng nên ngay lập tức thay đổi mật khẩu đồng thời logout tài khoản WhatsApp, Telegram trên các thiết bị đã từng đăng nhập.
Nguồn: Security Week
Chỉnh sửa lần cuối: