Експерти компанії Symantec відкрили в популярних месенджерах вразливість, яка дозволяє маніпулювати контентом. Зловмисники можуть зробити так, що відправлялося одне, але прийшло зовсім інше. Не рятує навіть кінцеве шифрування end-to-end.
Відкрита фахівцями Symantec вразливість дозволяє маніпулювати відправленими фотографіями та аудіофайлами. Наприклад, відправлений друзями скриншот мапи з точкою зустрічі зловмисники можуть замінити на інше місце зустрічі, де будуть очікувати свою жертву. Злочинці можуть редагувати написи на документах та реквізити, змушуючи жертву відправляти гроші не тому, кому було потрібно.
Особливе значення відкрита вразливість має через те, що месенджери хвалилися наявністю кінцевого шифрування (end-to-end). Так називається технологія, коли повідомлення шифруються на смартфоні відправника, а розшифрувати їх може лише отримувач. Також розшифрувати їх може сам месенджер, який зберігає ключі шифрування на своїх серверах, але про це воліють не згадувати, переконуючи користувачів у повній безпеці кінцевого шифрування.
Можливість маніпулювати відправленими у WhatsApp та Telegram файлами полягає в способі, в якому ці додатки зберігають контент. За замовчуванням WhatsApp контент знаходиться у відкритому вигляді. У Telegram контент зберігається в такому вигляді, якщо активувати опцію «Зберігати в Галерею».
Дослідники Symantec створили програму, яка змінювала відправлені через WhatsApp та Telegram файли. У своєму демонстраційному відео вони показали, як можна відправити фото двох друзів, але отримувачу надійде фото, на якому замість друзів буде два Ніколаси Кейджі.
Експерти кажуть, що захиститися від діри можна, якщо змінити опції роботи з медіа. На WhatsApp необхідно вимкнути функцію «Видимість медіа». У Telegram потрібно вимкнути опцію «Зберігати в Галерею».
