Не нужно быть спецслужбой, чтобы взломать Telegram и WhatsApp

Не нужно быть спецслужбой, чтобы взломать Telegram и WhatsApp

Простую и легкую для понимания большинства граждан статью подготовили в Positive Technologies.

Суть ее — донести простую идею, что не нужно вестись на маркетинг о потрясающем уровне безопасности мессенджеров. Да, приложения хорошие, может быть очень хорошие, но архитектура самого решения весьма уязвима. Решения, где есть одноразовые коды, мобильная связь, сеть SS7 — все уязвимо.

Меньше недели назад шло бурное обсуждение новости о том, что спецслужбы, якобы, причастны к взлому мессенджера Telegram. В ходе исследования Positive Technologies были зарегистрированы тестовые аккаунты в сервисе Telegram. После обмена несколькими сообщениями была осуществлена атака на один из номеров. Последовательность действий наглядно отображена на скриншотах:

1. Для начала необходимо выяснить IMSI:

2. Перерегистрация абонента на другой терминал:

3. Получение профиля абонента:

4. Завершение процедуры перерегистрации:

5. Теперь номер жертвы находится под полным контролем третьих лиц. После этого необходимо на любом другом девайсе инициировать процедуру подключения к Telegram с использованием номера телефона жертвы и дождаться SMS.

6. После ввода кода можно получить полный доступ к аккаунту Telegram: вести переписку от имени жертвы, а также прочитать всю подгружаемую переписку (кроме секретных чатов).

По аналогичной схеме была произведена "атака" на WhatsApp. И хотя доступ к предыдущей переписке получить не удалось, потому что она не хранится на сервере, вести переписку от имени жертвы все же вполне реально. При этом, хозяин "взломанного" аккаунта даже не будет догадываться об этом.

Другие записи

  • Впечатление от PHDays 2013 или кто заказчик кибербезопасности в России?
  • Мошенники проникают на компьютеры клиентов. Третья статья на CNews
  • Безопасность терминалов опаты. Диалог на СИТИ-FM
  • Блоги, которые нельзя читать
  • Ущерб от мошенничества в ДБО. Статистика. Четвертая статья на CNews
  • Убогий, но дорогой сердцу стандарт

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации