Lần tới, khi ai đó gửi cho bạn ảnh chụp một chú mèo dễ thương hoặc một chú gà nóng bỏng trên WhatsApp hoặc Telegram, hãy cẩn thận trước khi bạn nhấp vào ảnh để xem — tài khoản của bạn có thể bị hack trong vài giây.
Một lỗ hổng bảo mật mới gần đây đã được vá bởi hai dịch vụ nhắn tin được mã hóa đầu cuối phổ biến – WhatsApp và Telegram – có thể cho phép tin tặc chiếm đoạt hoàn toàn tài khoản người dùng chỉ bằng cách người dùng chỉ cần nhấp vào một bức ảnh.
Vụ hack chỉ ảnh hưởng đến các phiên bản WhatsApp và Telegram dựa trên trình duyệt, vì vậy người dùng dựa vào các ứng dụng dành cho thiết bị di động không dễ bị tấn công.
Theo các nhà nghiên cứu bảo mật của Checkpoint, lỗ hổng nằm trong cách cả hai dịch vụ nhắn tin xử lý hình ảnh và tệp đa phương tiện mà không xác minh rằng chúng có thể chứa mã độc bên trong.
Để khai thác lỗ hổng, tất cả những gì kẻ tấn công cần làm là gửi mã độc ẩn trong một hình ảnh trông có vẻ ngây thơ. Khi nạn nhân nhấp vào ảnh, kẻ tấn công có thể có toàn quyền truy cập vào dữ liệu lưu trữ WhatsApp hoặc Telegram của nạn nhân.
Điều này cuối cùng đã cho phép những kẻ tấn công có toàn quyền truy cập vào tài khoản của người dùng trên bất kỳ trình duyệt nào, xem và thao túng các phiên trò chuyện, truy cập vào các cuộc trò chuyện cá nhân và nhóm, ảnh, video, âm thanh, các tệp được chia sẻ khác và cả danh sách liên hệ của nạn nhân.
Để làm cho cuộc tấn công này lan rộng, kẻ tấn công sau đó có thể gửi hình ảnh chứa phần mềm độc hại tới mọi người trong danh sách liên hệ của nạn nhân, điều này cuối cùng có thể có nghĩa là một tài khoản bị tấn công có thể dẫn đến vô số thỏa hiệp bằng cách nhảy cóc tài khoản.
Danh mục bài viết
Trình diễn video
Các nhà nghiên cứu cũng cung cấp một video trình diễn, được đưa ra dưới đây cho thấy cuộc tấn công đang hoạt động.
Đây là lý do tại sao lỗ hổng này không bị phát hiện:
Cả WhatsApp và Telegram đều sử dụng mã hóa đầu cuối cho các tin nhắn của mình để đảm bảo rằng không ai, ngoại trừ người gửi và người nhận, có thể đọc các tin nhắn ở giữa.
Học cách bảo vệ phạm vi nhận dạng – Các chiến lược đã được chứng minh
Cải thiện bảo mật doanh nghiệp của bạn với hội thảo trực tuyến về an ninh mạng do chuyên gia hướng dẫn sắp tới của chúng tôi: Khám phá các chiến lược Vành đai nhận dạng!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Tuy nhiên, chính biện pháp bảo mật mã hóa đầu cuối này cũng là nguồn gốc của lỗ hổng này.
Vì các tin nhắn được mã hóa ở phía người gửi, WhatsApp và Telegram không biết hoặc không có cách nào để biết rằng mã độc đang được gửi đến người nhận và do đó không thể ngăn nội dung chạy.
Các nhà nghiên cứu viết trong một bài đăng trên blog: “Vì các tin nhắn được mã hóa mà không được xác thực trước, WhatsApp và Telegram không biết được nội dung, do đó khiến chúng không thể ngăn nội dung độc hại được gửi đi”.
WhatsApp đã sửa lỗi trong vòng 24 giờ vào thứ Năm, ngày 8 tháng 3, trong khi Telegram đã vá lỗi vào thứ Hai.
Vì các bản sửa lỗi đã được áp dụng ở cuối máy chủ nên người dùng không phải cập nhật bất kỳ ứng dụng nào để tự bảo vệ mình khỏi cuộc tấn công; thay vào đó, họ chỉ cần khởi động lại trình duyệt.
Oded Vanunu, trưởng bộ phận nghiên cứu lỗ hổng sản phẩm tại Check Point cho biết: “Đó là một lỗ hổng lớn trong một dịch vụ quan trọng. “Rất may, WhatsApp và Telegram đã phản hồi nhanh chóng và có trách nhiệm để triển khai giảm thiểu chống khai thác vấn đề này trong tất cả các máy khách web.”
WhatsApp không nhận thấy bất kỳ sự lạm dụng lỗ hổng nào, trong khi Telegram tuyên bố lỗ hổng ít nghiêm trọng hơn WhatsAppvì nó yêu cầu nạn nhân nhấp chuột phải vào nội dung hình ảnh rồi mở nó trong một cửa sổ hoặc tab mới để mã độc chạy và khai thác người dùng.
Sau khi sửa lỗi này, nội dung trên các phiên bản web của cả WhatsApp và Telegram giờ đây sẽ được xác thực trước khi mã hóa đầu cuối hoạt động, cho phép chặn các tệp độc hại.
