Home   › Подтверждена новая угроза WhatsApp: ошибка, которая могла позволить хакерам заразить ваш телефон с помощью видеофайла.

Подтверждена новая угроза WhatsApp: ошибка, которая могла позволить хакерам заразить ваш телефон с помощью видеофайла.

Февраль 18, 2020

Sharing is caring!

Официальное заявление относительно ошибки переполнения буфера WhatsApp. Facebook обнаружил уязвимость в WhatsApp, которая может привести к взлому вашего телефона через вредоносный видеофайл.

Непонятно, нужно ли было открывать этот видеофайл или его можно просто было отправить пользователю, чтобы позволить хакеру взломать ваш телефон.

Эта ошибка присутствовала в версиях приложений WhatsApp и WhatsApp для бизнеса для iOS, Android и даже Windows Phone.

Безопасность и целостность приложения WhatsApp в последние недели были в центре внимания, и большинство новостных сводок были посвящены именно крупнейшему игроку в этом поле – WhatsApp. Основная платформа Facebook для обмена сообщениями исправила ряд уязвимостей, наиболее известной из которых стало предупреждение пользователей платформы о том, что она была взломана израильской шпионской компанией NSO. Родитель WhatsApp – Facebook  – даже подал в суд на NSO за их предполагаемые атаки.

Что же такое переполнение буфера?

Переполнение буфера – это аномалия в программном обеспечении, когда программа пытается сохранить больше данных в буфере (хранилище памяти), чем его емкость по умолчанию, вызывая переполнение буфера. Это так же, как если бы вы пытались налить в чашку больше воды, чем она могла бы вместить, что привело бы к ее переполнению.

В компьютерах буфер – это раздел памяти, выделенный для хранения данных. Если он переполнен данными, это может повредить новые данные (или сохраненные данные), привести к сбою программы или вызвать выполнение стороннего кода (возможно, вредоносного кода!).

Несколько лет назад, когда Facebook решил добавить WhatsApp в свою семью, Европейский союз одобрил эту сделку только после того, как дал понять, что и компании, и данные их пользователей останутся раздельными. Конечно, с таким большим количеством противоречий, касающихся конфиденциальности данных, Facebook согласился на слияние. Эта политика действовала не менее двух лет, но  25 августа 2016 года WhatsApp обновил свою Политику конфиденциальности, чтобы обеспечить обмен данными пользователей из WhatsApp в Facebook.

Он комментировал это так:

«Мы планируем поделиться информацией с Facebook и семейством компаний Facebook. Некоторая информация об учетной записи пользователя в Facebook и его семействе компаний, например номер телефона, который вы указали при регистрации в WhatsApp, а также последний раз, когда вы использовали наш сервис ».

Своими ласковыми словами Facebook также заверил, что ни одна из данных пользователя не будет публично отображена в их социальной сети. Вернее, все будет скрыто под недоступным профилем пользователя. Также будет возможность отключить обмен данными в настройках параметров. Что досадно –  для всех сторонников конфиденциальности данных, по умолчанию была включена опция совместного использования данных, что вынудило каждого отдельного пользователя WhatsApp ( а их более миллиарда) перейти к настройкам для отключения этой функции вручную.

Пока ничего не ясно о сервисе WhatsApp по сбору пользовательских данных для рекламы. Разумно предположить, что интеграция Facebook, несомненно, ослабит концепцию шифрования данных – шаг, который не является чем-то новым для персонажа социальной сети, учитывая, что полная бизнес-модель Facebook сосредоточена на целевой рекламе, вращающейся вокруг личных данных пользователя.

Facebook сообщил о существовании серьезной уязвимости, приводящей к атакам на удаленное выполнение кода в программном обеспечении обмена сообщениями WhatsApp.

На прошлой неделе Facebook сообщил, что ошибка WhatsApp, отслеживаемая как CVE-2019-11931, является проблемой переполнения буфера в стеке, которая может быть вызвана злоумышленниками, отправляющими специально созданные видеофайлы .MP4 жертвам.

Хотя технических подробностей не так много, Facebook заявил, что проблема была вызвана тем, как приложение для шифрованного обмена сообщениями анализирует метаданные элементарного потока .MP4. В случае использования уязвимость может привести к атакам типа «отказ в обслуживании» (DoS) или удаленного выполнения кода (RCE).

На это влияют версии WhatsApp до 2.19.274 для Android и iOS версии до 2.19.100. Бизнес-пользователи WhatsApp до 2.19.104 на Android и 2.19.100 на iOS также подвержены атакам.

Версии Enterprise Client до 2.25.3 и Windows Phone версии WhatsApp, включая 2.18.368 и ниже, также затрагиваются.

Facebook говорит, что «потенциальная проблема» была обнаружена внутри – она ​​не была раскрыта исследователем безопасности и не была перехвачена в вне. Но в наши дни усиливающихся атак на платформы обмена сообщениями к таким уязвимостям нужно относиться серьезно, а действия по исправлению должны быть быстрыми и тщательно продуманными.

В октябре исследователь в области кибербезопасности обнаружил уязвимость с двойным освобождением, CVE-2019-11932, которая может использоваться в атаках для компрометации сеансов чата, файлов и сообщений.

Что ж – настало самое время просыпаться. Если вы достаточно осторожны в отношении конфиденциальности ваших данных, пришел час  удалить Facebook, отказавшись также от WhatsApp. Если вы ищете безопасный вариант, подумайте об использовании Signal, который является более безопасным, сквозным приложением для шифрованного обмена сообщениями для общения с разными пользователями.

Но сначала, что такое Signal ?

Signal  – приложение для обмена сообщениями, как iMessage или WhatsApp или Facebook Messenger, но с расширенными функциями в отношении конфиденциальности и безопасности данных. Действительно, его действия по обеспечению безопасности настолько хороши, что даже осведомитель, Эдвард Сноуден, рекомендует его и использует его сам – кто знает лучше о безопасности, если не он, – это лучшее приложение для предотвращения любого нежелательного отслеживания.

Signal абсолютно бесплатен и доступен практически для любой платформы, включая Android, iOS и Chrome с некоторыми дополнительными протоколами безопасности. Приложение предлагает все основные инструменты обмена сообщениями, которые вам необходимы для общения, включая поддержку смайликов, квитанции о прочтении, групповые чаты, аудио- и видеозвонки.

Как и WhatsApp, Signal использует номер мобильного телефона для идентификации пользователя и его контактов. Это означает, что вам не нужно думать о новых именах пользователей и паролях, так как вы можете сразу же погрузиться. Для Android пользователю также разрешено делиться обычными SMS или MMS с помощью Signal для контактов, у которых не установлен Signal

Почему мы должны использовать Signal ?

Во-первых, Signal  полностью защищает чаты. Все данные, передаваемые через приложение, зашифрованы, что делает невозможным любое вторжение сторонних лиц, желающих перехватить данные, передаваемые конкретному получателю. Что еще к этому? Что ж, Signal не хранит никаких пользовательских данных, даже если правительство или любое другое агентство запрашивает их, утечки не может быть – Signal  не сможет ничего им предложить.

Кроме того, код Signal является открытым исходным кодом, что означает, что любой может посмотреть его или проверить его безопасность, но это не значит, что хакеры могут взломать шифрование Signal (да, его практически не взломать)

Только эксперты по безопасности и другие пользователи должны быть уверены, что Signal всегда поддерживает такие высокие стандарты конфиденциальности данных, как и заявляет об этом.

Почти каждый следователь по безопасности, который опробовал приложение, сделал большой шаг вперед с точки зрения безопасности, и его базовая технология защиты данных теперь используется и в других приложениях.

Как использовать Signal ?

Signal совсем не сложен в использовании, так как его настройка аналогична настройке любого другого приложения для обмена сообщениями – о да! Все его умные технологии конфиденциальности скрыты за кулисами. После установки приложения вас попросят ввести свой номер телефона. Для Android вы также можете установить Signal в качестве приложения по умолчанию для всех обычных текстовых сообщений (Apple не предлагает вам изменить его в качестве приложения SMS по умолчанию для iOS).

Нажмите на значок пера для начала разговора или просто выберите существующую ветку, чтобы продолжить общение. Существуют значки, позволяющие обмениваться сообщениями, совершать звонки, обмениваться фотографиями, прикреплять файлы или вставлять любые голосовые клипы, появляющиеся в окне разговора, даже если между приложениями для iOS и Android есть несколько отличий.

У вас есть возможность настроить автоматическое исчезновение сообщений. Для Android откройте меню внутри определенного разговора (три вертикальные точки), а затем нажмите параметр «Исчезающие сообщения», чтобы установить ограничение по времени. Для iOS нажмите на баннер, указанный в верхней части разговора, чтобы повторить то же самое.

Signal  является безусловно лучшим вариантом для обеспечения безопасности и конфиденциальности данных в мессенджере, предлагая уровни безопасности.

Приложения для безопасного обмена сообщениями защищают нашу личную и профессиональную связь от тех любопытных глаз, которые следят за нашей личной деятельностью.

Обратившись к Signal вы получите действительно безопасный обмен сообщениями, будьте в тренде – все ведущие предприятия и частные лица сейчас интенсивно внедряют решения для безопасного обмена сообщениями.

 

Чего же ты ждешь?

Скачай Signal сейчас!

6 Comments

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *