ПРОДОЛЖЕНИЕ -
Второй канал -
📌 overbafer1 личный блог -
📌 TESTLAND -
📌 LAMERLAND -
Паблик - overpublic1 -
Заказать рекламу вы можете здесь:
Инстаграмчик здесь:
AliExpress в рамках закона [Bad AliExpress]:
Некультурный AliExpress:
#whatsapp #уязвимость #pentest
Уязвимости WhatsApp
По состоянию на начало 2018 года приложение для обмена сообщениями, принадлежащее Facebook, - WhatsApp имеет более 1,5 миллиарда пользователей, более миллиарда групп и 65 миллиардов сообщений, отправляемых каждый день. С таким большим количеством пользователей есть большая вероятность для онлайн-мошенничества, фишинга и фальшивых новостей.
Группа Check Point Research недавно обнародовала новые уязвимости в популярном приложении для обмена сообщениями, которые могут позволить злоумышленникам перехватывать и обрабатывать сообщения, отправленные как в личных, так и в групповых чатах, предоставляя им огромные возможности для создания и распространения дезинформации. Так как подменить сообщения WhatsApp ?
Давайте взглянем на виды угроз:
1) Используя функцию “цитата“ в групповом диалоге можно изменить имя отправителя, даже если этот человек не является членом группы.
2) Изменить текст чужого ответа. То есть подмена сообщений в WhatsApp
3) Отправлять личные сообщения члену группы, когда тот заблокировал эту возможность.
Как известно, WhatsApp шифрует каждое отправляемое вами сообщение: изображение, звонок, видео и тд., чтобы его мог видеть только получатель.
Эти процессы шифрования привлекли, и решили попробовать изменить алгоритм WhatsApp для расшифровки данных. И после расшифровки WhatsApp они обнаружили, что WhatsApp использует для этого «протокол protobuf2».
Преобразовав эти данные protobuf2 в Json, они смогли увидеть фактические отправленные параметры и манипулировать ими, чтобы проверки безопасности WhatsApp.
Для манипуляции потребовался инструмент BurpSuite. Однако, чтобы начать манипулирование, сначала нужно получить закрытый и открытый ключ нашего сеанса и заполнить его в нашем расширении burpsuit.
Подробный материал вы найдете в нашем телеграм канале через несколько дней после релиза этого видео -
Второй нюанс - это брешь CVE-2019-11931. Она позволяла злоумышленникам удаленно, с помощью WhatsApp, взламывать устройства, зная только номера телефонов пользователей, другими словами это взлом WhatsApp . Хакеры отправляли жертвам специальный файл в любом формате (главное отправленный как документ), с помощью которого на гаджете устанавливалась шпионская программа или бэкдор, то есть как взломать WhatsApp. Это вело к проблемам с переполнением буфера и сбою. Проблема кроется в парсинге метаданных таких типов файлов. Результатом успешной эксплуатации может стать как состояние DoS, так и удаленное выполнение кода.
Фактически с помощью отправленного документа хакеры получали доступ к сообщениям и файлам, которые отправляли пользователи через WhatsApp.
Уязвимость была обнаружена в версиях программы для всех платформ: Android, iOS, Enterprise Client, Windows Phone, а также Business for Android и Business for iOS.
Её конечно залатали, но вот не долго длилось счастье. Если раньше она была привязана к конкретным операционным системам и к конкретным версиям вотсап. То сейчас уязвимость CVE-2019-2232 еще не устранена и она выполняет такие же функции: вызывает перманентную DoS-атаку на устройство, из-за чего оно может выйти из строя.
При этом для осуществления такой атаки не требуются права администратора, а также какое-либо участие владельца устройства — все происходит в фоновом режиме. Опасной уязвимости подвержены смартфоны на базе Android 8.0, Android 8.1, Android 9 и Android 10.
В Google заявили о том, что декабрьский патч, устраняющий все три проблемы, уже выпущен, а значит пользователям не о чем волноваться. Однако, беспокоиться все же стоит — дело в том, что очередные обновления операционной системы появляются на смартфонах Android в разное время. В то время, как клиенты одного производителя уже могут выдохнуть с облегчением, пользователи со смартфонами другого бренда пока не могут чувствовать себя в безопасности.
1 view
92
20
1 month ago 00:50:19 1
Мир глазами разведчика | Экология и миграционный кризис | Андрей Безруков | Встреча Клуба часть 3
1 month ago 01:33:58 1
АНДРЕЙ ФУРСОВ: Конец капитализма, мировое правительство, будущее России и мира / РАЗГОВОРЫ О БУДУЩЕМ
1 month ago 00:02:55 1
Почему не рекомендуется покупать продукцию Siberian Wellness на Wildberries и OZON.
1 month ago 00:13:01 1
КАРТА ДНЯ 22 АПРЕЛЯ 2024 - все знаки зодиака
1 month ago 01:02:50 1
МК Зая Валюша крючком
1 month ago 02:12:01 1
РОЗЫГРЫШ, 50 копеек 1922, 1925, 1926! Стрим №509
1 month ago 00:03:46 1
ПРЕМЬЕРА 2024 | Алёна Росс - Любовь с первого взгляда
1 month ago 00:06:26 1
ТОП 5 Игр на Пасху с детьми
1 month ago 00:12:13 1
ЛУЧШАЯ СТОЙКАЯ ЖИДКАЯ МАТОВАЯ / ГЛЯНЦЕВАЯ ПОМАДА
1 month ago 00:06:04 1
24 04 2024 года открывается коридор желаний во Вселенную
1 month ago 00:31:07 1
Нуга Бест - секта? Почему врачи против Нуга Бест?
1 month ago 01:17:40 1
Суд над Бишимбаевым: основные моменты | с по
1 month ago 00:17:58 1
Gravity Hotel Sahl Hasheesh 5* | Египет | отзывы туристов
1 month ago 00:03:42 1
Учебно-методический комплект “ТРАФАРЕТиК“
1 month ago 00:36:42 1
А где набережная??? По чем клубника 🍓? Рынок в Гагре. Абхазия погода в апреле.
1 month ago 00:44:07 1
Русский народ и глубинная история Присуда. Интервью с Григорием Алябьевым (Кузнецовым) ЧАСТЬ 2.
1 month ago 00:01:30 1
Нетипичные пробки из-за ремонта канализационного коллектора в Петропавловске
1 month ago 00:08:32 1
Кэнди (Канди) Работа с данным видом краски. Инструкция.
1 month ago 00:34:41 1
Akka Antedon Hotel 5* | ЛУЧШИЙ ОТДЫХ В ТУРЦИИ 2024 | Обзор отеля после обновления
1 month ago 00:42:19 1
ХОЛЕСТЕРИН Надо ли принимать статины? / холестерин / как нормализовать холестерин / Статины /
1 month ago 00:06:16 1
Что вас ждёт на будущей неделе? Гадание пасьянс расклад онлайн
1 month ago 00:01:20 1
Новинка - шейный якутский ножичек в деревянных ножнах от компании «Стальные Бивни»
1 month ago 00:00:29 1
ПРОДАН Рузиль Шаманович в Москву чихуахуа питомник Кастропуло Крым ♥️
1 month ago 00:13:02 2
ЧАСТЬ 1 НОВОСТИ ‼️питомник чихуахуа и той-пудель мальтипу Кастропуло Крым