Пользователей WhatsApp ждет тревожное предупреждение: киберпреступники обнаружили пугающе простой способ получать доступ к переписке в реальном времени, манипулируя функцией привязки или связывания устройств в приложении.
Исследователи из компании Gen Digital (владеющей Norton, Avast, Avira и AVG) назвали эту атаку «GhostPairing». Для ее осуществления не требуются ни пароли, ни учетные данные. Атака недавно была зафиксирована в Чехии.
Все, что нужно злоумышленнику, — это убедить пользователя перейти по вредоносной ссылке, отправленной через WhatsApp под видом сообщения о просмотре фотографии в Facebook.
В наиболее распространенном варианте атаки открывается поддельная страница, предлагающая пользователю подтвердить свою личность, введя номер мобильного телефона. Затем этот номер пересылается злоумышленниками в WhatsApp для инициирования функции «привязать устройство по номеру телефона», которая добавляет новые устройства к учетной записи.
WhatsApp генерирует 8-значный код привязки, который перехватывается и перенаправляется пользователю. Пользователь, увидев запрос на новую привязку в WhatsApp, вводит этот код для подтверждения. К сожалению, это добавляет браузерную сессию злоумышленника в список «доверенных устройств».
Если пользователь не проявит подозрительность, игра окончена: злоумышленник получает полный доступ к его учетной записи, сообщениям и истории переписки, а также возможность видеть сообщения в момент их отправки и получения.
«После привязки устройства атакующему больше ничего не нужно использовать. Он получает те же возможности, что и любой пользователь при подключении WhatsApp Web на своем компьютере, — заявляют исследователи Gen Digital. — Все происходит в рамках функционала, предусмотренного WhatsApp».
Что еще хуже, злоумышленники могут отправлять сообщения от имени жертвы, чтобы распространять кампанию среди контактов пользователя и в группах WhatsApp.
Обход сквозного шифрования
GhostPairing — это пример атаки, использующей одно из главных преимуществ WhatsApp: невероятное удобство регистрации, подключения к другим пользователям и добавления до четырех дополнительных устройств к учетной записи. Это одна из причин такой популярности WhatsApp. Для регистрации нужен только номер телефона, без логина или пароля, которые нужно запоминать.
Другое преимущество — встроенная в приложение функция конфиденциальности со сквозным шифрованием (E2EE), при которой закрытые ключи для защиты сообщений хранятся непосредственно на устройстве. Это должно делать прослушивание личных сообщений невозможным без физического доступа к устройству или его удаленного заражения вредоносным ПО.
GhostPairing демонстрирует, что атака социальной инженерии может обойти это. Интересно, что, хотя атака все еще возможна, она менее практична при запросе привязки через QR-коды. Это дает некоторую уверенность пользователям таких мессенджеров, как Signal, который разрешает запросы на привязку только через QR-коды.
Защита WhatsApp
Пользователи могут проверить, какие устройства привязаны к их учетной записи WhatsApp, в разделе «Настройки > Связанные устройства». Там отобразится и вредоносная привязка. Несмотря на доступ к учетной записи WhatsApp пользователя, злоумышленник не может отозвать доступ своего устройства, так как это действие должно быть инициировано с основного устройства. Еще один совет — включить двухэтапную проверку PIN-кодом. Это не предотвратит доступ злоумышленника к сообщениям, но не позволит ему изменить основной адрес электронной почты.
Угроза для предприятий заключается в том, что большое количество сотрудников использует WhatsApp, а также общается в крупных групповых чатах. Риск состоит в том, что многие из этих групп не будут документированы и, следовательно, останутся без внимания служб безопасности.
Рекомендуется предполагать, что такие группы существуют, и обучать пользователей сообщать о подозрительных фишинговых сообщениях или спаме от неизвестных номеров. Сообщение должно быть ясным: сообщения в WhatsApp могут казаться личными, но само приложение имеет уязвимости, которыми могут воспользоваться злоумышленники.
GhostPairing появляется всего через несколько недель после того, как университетские исследователи обнаружили серьезную уязвимость WhatsApp, позволившую им узнать номера мобильных телефонов 3,5 миллиарда пользователей приложения по всему миру. Ранее в этом году Meta обнаружила слабое место в приложении WhatsApp Desktop, которое могло быть использовано для атак на пользователей Windows.
И дело не только в WhatsApp: исследователи недавно обнаружили взлом компании, создавшей модифицированную версию Signal для использования высокопоставленными американскими политиками.
Автор – John E. Dunn
