Специалисты из компании Check Point Security обнаружили уязвимость веб-платформ мессенджеров WhatsApp и Telegram, которая затрагивает процесс обработки изображений и мультимедийных файлов. Исследователи создали изображения, которые при предварительном просмотре кажутся нормальными, но перенаправляют пользователей на HTML-страницу с вредоносным кодом. Когда страница загружена, собираются хранимые локально данные, позволяя взломать учётную запись пользователя.
Таким образом, просто отправив собеседнику невинно выглядящую фотографию в WhatsApp, можно получить доступ к учётной записи, истории переписки, всем отправленным в мессенджере изображениям и отсылать сообщения от лица этого пользователя.
В WhatsApp пользователь должен открыть присланное изображение. Сложнее использовать уязвимость в Telegram, тут пользователь должен открыть видео в отдельной вкладке Chrome. Когда видео запущено, пользователь должен нажать по нему правой кнопкой мыши и выбрать в контекстном меню команду «Открыть в новой вкладке». Это относится только к Telegram Web, Chrome и исключительно указанной последоватльности действий, которая весьма нетипична для пользователей.
Разработчики обеих программ были уведомлены об уязвимости 8 марта и с тех пор внесли изменения для защиты от таких атак. В отличие от электронной почты или чатов, WhatsApp и Telegram не могут читать переписку пользователей, поскольку применяется сквозное шифрование. Это затрудняет сканирование на вирусы.