В WhatsApp нашли уязвимость, которая срабатывает при ответе на звонок
Члены команды этичных хакеров Google Project Zero обнаружили уязвимость в мессенджере WhatsApp, которая срабатывает при ответе на видеозвонок и позволяет злоумышленнику получить контроль над мобильным телефоном жертвы.
Во время видеовызова жертва получает неправильный пакет RTP, что и приводит к ошибке и сбою в работе мобильного приложения. Натали Сильванович подробности этой уязвимости и способ ее использования для атак. В ее докладе говорится о проблеме повреждения памяти, которая делает возможным эксплуатацию этого бага.
О том, что эта уязвимость допускает взлом через видеовызов, говорит другой представитель Google Project Zero, Тэвис Орманди.
Сильванович обнаружила эту проблему еще в августе 2018 года и тогда же передала информацию о ней команде WhatsApp. В последних обновлениях мобильных приложений для Android и iPhone проблема была решена к началу октября. Пользователям десктопого приложения об этом баге переживать не стоит вовсе: веб-версия использует WebRTC.
Другая недавняя уязвимость в WhatsApp позволяет злоумышленникам захватить контроль над аккаунтом, используя слабость двухфакторной аутентификации. Если жертва выключает телефон на ночь, то систему восстановления пароля можно заставить позвонить и назвать код. Однако когда этот код попадает в голосовую почту, а увести его оказывается слишком легко, так как на нее часто ставят пароли типа 0000 и 1234.
Секьюрити-ресерчер Мартин Виго , как используя эту технику, можно хакнуть профили в Facebook, Google, Twitter, WordPress, e.b.a.y или PayPal. Из, несомненно, благих побуждений он создал специальный инструмент для автоматизации этих атак — Ransombile. Но, в отличие от бага RTP, эта уязвимость уже
Члены команды этичных хакеров Google Project Zero обнаружили уязвимость в мессенджере WhatsApp, которая срабатывает при ответе на видеозвонок и позволяет злоумышленнику получить контроль над мобильным телефоном жертвы.
Во время видеовызова жертва получает неправильный пакет RTP, что и приводит к ошибке и сбою в работе мобильного приложения. Натали Сильванович подробности этой уязвимости и способ ее использования для атак. В ее докладе говорится о проблеме повреждения памяти, которая делает возможным эксплуатацию этого бага.
О том, что эта уязвимость допускает взлом через видеовызов, говорит другой представитель Google Project Zero, Тэвис Орманди.
Сильванович обнаружила эту проблему еще в августе 2018 года и тогда же передала информацию о ней команде WhatsApp. В последних обновлениях мобильных приложений для Android и iPhone проблема была решена к началу октября. Пользователям десктопого приложения об этом баге переживать не стоит вовсе: веб-версия использует WebRTC.
Другая недавняя уязвимость в WhatsApp позволяет злоумышленникам захватить контроль над аккаунтом, используя слабость двухфакторной аутентификации. Если жертва выключает телефон на ночь, то систему восстановления пароля можно заставить позвонить и назвать код. Однако когда этот код попадает в голосовую почту, а увести его оказывается слишком легко, так как на нее часто ставят пароли типа 0000 и 1234.
Секьюрити-ресерчер Мартин Виго , как используя эту технику, можно хакнуть профили в Facebook, Google, Twitter, WordPress, e.b.a.y или PayPal. Из, несомненно, благих побуждений он создал специальный инструмент для автоматизации этих атак — Ransombile. Но, в отличие от бага RTP, эта уязвимость уже
