В отличие от WhatsApp, никто не может угнать ваш Telegram-аккаунт, просто отправив фотографию

Компания Check Point обнаружила способ захвата учётных записей WhatsApp, для успешной реализации которого жертве необходимо было всего лишь открыть отправленную ей фотографию. Никаких других действий не требовалось. Некоторые СМИ заявили, что «та же самая» уязвимость была найдена в Telegram.

Это не так, в Telegram никогда не было подобной проблемы.

Что случилось?

На прошлой неделе, Check Point указали на иную уязвимость в Web-версии Telegram, которая строилась на той же идее, но её эксплуатация отличалась для конечного пользователя. Чтобы всё сработало, необходимо было убедить жертву проделать следующие действия:

1. Нажать «Воспроизвести» для просмотра вредоносного видео через Telegram Web в Chrome (на этом этапе учётная запись WhatsApp уже скомпрометирована, но с Telegram этого не происходит).
2. Далее, во время просмотра видео нажать на нём правой кнопкой мыши и выбрать в контекстном меню «открыть в новой вкладке».

Вашей жертве нужно проделать именно эти действия в определённом порядке. Учтите, что:

• Это не работает, если вы просто открыли ссылку для просмотра видео в новой вкладке. Никакого эффекта.
• Это не работает в любых других браузерах, кроме Chrome.
• Это в принципе не относится ни к Telegram Desktop, ни к любым другим нашим приложениям.
• Мы сразу отреагировали на эту уязвимость и исправили её.

Как видите, атака на Telegram требовала очень специфичных условий и очень необычных действий со стороны жертвы, чтобы её осуществить.

Зачем так искажать новости?

Многие СМИ сообщили неправду, что Telegram был подвержен той же проблеме, что и WhatsApp. Причина, по которой они это сделали, заключается в том, что Check Point решили опубликовать информацию так, чтобы привлечь к себе побольше внимания. Это вполне типично для компании по защите информации, которая хочет получить признание широких масс. Удивительно, что их не устроило обнародование проблемы в WhatsApp, и они решили включить в свои заявление некорректную информацию о Telegram, например:

Как только пользователь открывает вредоносный файл, атакующий получает доступ к локальному хранилищу WhatsApp и Telegram, в котором лежат данные пользователя. С этого момента у атакующего есть возможность получить полный доступ к аккаунту пользователя и его данным.

Та часть заявления, которая касается Telegram, — ложь. Увы, теперь это часть кипы статей, написанных журналистами-обманщиками по всему миру. Так что, если вы увидите заголовок виде «Как одно лишь фото может взломать ваши аккаунты WhatsApp и Telegram», можете смело сообщать автору, что его надула безответственная компания, занимающаяся безопасностью.

Кстати, а как я узнаю, что мой аккаунт ранее не атаковали подобным образом?

Если вы — пользователь WhatsApp, то никак. Увы. Разве что вы уверены, что все фотографии, которые вы когда-либо открывали через WhatsApp Web, были получены из надёжных источников.

Если вы — пользователь Telegram и используете веб-клиент вместо настольных приложений, попробуйте вспомнить, не проделывали ли вы подобные странные манипуляции, описанные выше. Если вы, как и мы все, никогда так не делали, значит, эта проблема вас не коснулась.

Оригинал записи на английском языке: http://telegra.ph/Checkpoint-Confusion-NEWS