Výzkumníci společnosti Check Point Software odhalili novou zranitelnost v populárních službách pro zasílání zpráv WhatsApp a Telegram (WhatsApp Web a Telegram Web). Zneužitím zranitelnosti by mohli útočníci kompletně převzít kontrolu nad uživatelskými účty a získat přístup k osobním i skupinovým konverzacím, fotkám, videím a dalším sdíleným souborům, kontaktům a dalším datům.
Zranitelnost umožňuje útočníkům poslat oběti škodlivý kód, který je ukryt ve zdánlivě nevinně vypadajícím obrázku. Jakmile uživatel na obrázek klikne, může útočník získat plný přístup k datům a převzít kontrolu nad účtem. Útočník pak může poslat škodlivý soubor všem kontaktům oběti, což potenciálně umožňuje masové útoky.
Check Point o zranitelnosti informoval bezpečnostní týmy WhatsApp a Telegram 8. března. Firmy uznaly bezpečnostní riziko a vyvinuly opravu pro webové klienty po celém světě. „WhatsApp a Telegram naštěstí rychle a zodpovědně zareagovaly a přijaly a nasadily ve všech webových klientech opatření zmírňující riziko zneužití,“ uvedl Petr Kadrmas, Secuity Engineer Eastern Europe ve společnosti Check Point. Uživatelům webových verzí WhatsApp a Telegram, kteří si chtějí být jisti, že používají nejnovější verze, je doporučeno restartovat webový prohlížeč.
WhatsApp a Telegram používají na ochranu dat koncové šifrování zpráv, aby bylo zajištěno, že zprávy mohou číst pouze účastníci komunikace. Přesto stejné koncové šifrování bylo zdrojem také této zranitelnosti. Jelikož byly zprávy zašifrovány na straně odesílatele, WhatsApp a Telegram neměly přístup k obsahu, a nemohly tak zabránit odesílání škodlivého obsahu. Po opravě této zranitelnosti je nyní obsah ověřen před zašifrováním, což umožňuje blokovat škodlivé soubory.