ПРОДОЛЖЕНИЕ -
Второй канал -
📌 overbafer1 личный блог -
📌 TESTLAND -
📌 LAMERLAND -
Паблик - overpublic1 -
Заказать рекламу вы можете здесь:
Инстаграмчик здесь:
AliExpress в рамках закона [Bad AliExpress]:
Некультурный AliExpress:
#whatsapp #уязвимость #pentest
Уязвимости WhatsApp
По состоянию на начало 2018 года приложение для обмена сообщениями, принадлежащее Facebook, - WhatsApp имеет более 1,5 миллиарда пользователей, более миллиарда групп и 65 миллиардов сообщений, отправляемых каждый день. С таким большим количеством пользователей есть большая вероятность для онлайн-мошенничества, фишинга и фальшивых новостей.
Группа Check Point Research недавно обнародовала новые уязвимости в популярном приложении для обмена сообщениями, которые могут позволить злоумышленникам перехватывать и обрабатывать сообщения, отправленные как в личных, так и в групповых чатах, предоставляя им огромные возможности для создания и распространения дезинформации. Так как подменить сообщения WhatsApp ?
Давайте взглянем на виды угроз:
1) Используя функцию “цитата“ в групповом диалоге можно изменить имя отправителя, даже если этот человек не является членом группы.
2) Изменить текст чужого ответа. То есть подмена сообщений в WhatsApp
3) Отправлять личные сообщения члену группы, когда тот заблокировал эту возможность.
Как известно, WhatsApp шифрует каждое отправляемое вами сообщение: изображение, звонок, видео и тд., чтобы его мог видеть только получатель.
Эти процессы шифрования привлекли, и решили попробовать изменить алгоритм WhatsApp для расшифровки данных. И после расшифровки WhatsApp они обнаружили, что WhatsApp использует для этого «протокол protobuf2».
Преобразовав эти данные protobuf2 в Json, они смогли увидеть фактические отправленные параметры и манипулировать ими, чтобы проверки безопасности WhatsApp.
Для манипуляции потребовался инструмент BurpSuite. Однако, чтобы начать манипулирование, сначала нужно получить закрытый и открытый ключ нашего сеанса и заполнить его в нашем расширении burpsuit.
Подробный материал вы найдете в нашем телеграм канале через несколько дней после релиза этого видео -
Второй нюанс - это брешь CVE-2019-11931. Она позволяла злоумышленникам удаленно, с помощью WhatsApp, взламывать устройства, зная только номера телефонов пользователей, другими словами это взлом WhatsApp . Хакеры отправляли жертвам специальный файл в любом формате (главное отправленный как документ), с помощью которого на гаджете устанавливалась шпионская программа или бэкдор, то есть как взломать WhatsApp. Это вело к проблемам с переполнением буфера и сбою. Проблема кроется в парсинге метаданных таких типов файлов. Результатом успешной эксплуатации может стать как состояние DoS, так и удаленное выполнение кода.
Фактически с помощью отправленного документа хакеры получали доступ к сообщениям и файлам, которые отправляли пользователи через WhatsApp.
Уязвимость была обнаружена в версиях программы для всех платформ: Android, iOS, Enterprise Client, Windows Phone, а также Business for Android и Business for iOS.
Её конечно залатали, но вот не долго длилось счастье. Если раньше она была привязана к конкретным операционным системам и к конкретным версиям вотсап. То сейчас уязвимость CVE-2019-2232 еще не устранена и она выполняет такие же функции: вызывает перманентную DoS-атаку на устройство, из-за чего оно может выйти из строя.
При этом для осуществления такой атаки не требуются права администратора, а также какое-либо участие владельца устройства — все происходит в фоновом режиме. Опасной уязвимости подвержены смартфоны на базе Android 8.0, Android 8.1, Android 9 и Android 10.
В Google заявили о том, что декабрьский патч, устраняющий все три проблемы, уже выпущен, а значит пользователям не о чем волноваться. Однако, беспокоиться все же стоит — дело в том, что очередные обновления операционной системы появляются на смартфонах Android в разное время. В то время, как клиенты одного производителя уже могут выдохнуть с облегчением, пользователи со смартфонами другого бренда пока не могут чувствовать себя в безопасности.
1 просмотр
77
16
2 минуты назад 01:02:31 1
Полигамные женщины, мифы про оргазм, диеты и порнография. Сексолог Наталья Фомичёва
2 минуты назад 00:05:49 1
Куда уж дальше! Мигранты и медицина по “нормам шариата“. Медиков будут учить новым правилам
3 минуты назад 00:15:22 1
3 июня День Святой Елены. Что нельзя делать 3 июня в День Елены. Народные приметы и Традиции Дня
5 минут назад 00:07:49 1
Что значит «поступать с лукавым по лукавству его»? | “Библия говорит“ | 1179
9 минут назад 00:50:20 1
Полномочия Президента — Татьяна Еремицкая
10 минут назад 00:18:02 1
ГАЗ 22 | РЕСТАВРАЦИЯ завершена | Проект “ФОРТУНА“ |
12 минут назад 00:13:48 1
Синдром карпального канала - правильное лечение!
12 минут назад 00:13:07 1
Ковка ДАМАСКА своими руками без оборудования?! РАСКРОЕМ СЕКРЕТЫ. Часть 1.
12 минут назад 00:10:27 1
Как превратить обычную цепь в острый нож? Смотрите прямо сейчас!
14 минут назад 00:04:29 1
How much convincing did it take to bring Ukraine’s Zelenskyy to Singapore’s Shangri-La Dialogue?
16 минут назад 00:02:07 1
Заправка аэрозолей. Работа полуавтоматической линии. Аэрозольное оборудование.
18 минут назад 00:00:54 1
☕️🍬Доброе утро! Давай на брудершафт, по кофейку! Утренний Позитив для Друзей!
19 минут назад 01:06:23 1
Замужем. Как изуродовали это понятие? И чего стоит брак?
20 минут назад 00:01:16 1
СУПЕР Красивое Поздравление с ДНЕМ РОЖДЕНИЯ! Яркая Музыкальная Открытка с Днем Рождения в ИЮНЕ!
21 минута назад 00:32:22 1
11 вездеходов и 2 переломки Ураган. Лесная вырубка и бобровая канава. В поисках дикого торфа. Ч.1(3)
21 минута назад 00:16:56 1
« МОЛИТВА БЛАГОДАРЕНИЕ ЗА ЭТОТ ДЕНЬ « -
24 минуты назад 00:00:50 1
ДЕВУШКИ — ВОДИТЕЛИ — ЖДЕМ ВАС В #dentro #дентро #дальнобой
25 минут назад 00:09:37 1
Функциональное питание: что это такое и зачем его едят? Коктейль для похудения Enegy Diet Smart NL
28 минут назад 00:01:11 1
Открытие офиса Гринлиф в Крыму. Симферополь. #GREENLEAF #GREENLEAFКрым #ГринлифКрым #млм_бизнес
28 минут назад 00:26:24 1
ПОх** ПОЕХАЛИ УЖЕ ! / ПАССАЖИРКА НЕ ДОВОЛЬНА / ПОКУРЮ МОЖНО ?
30 минут назад 00:48:21 1
Рассеянный склероз, что делать? Чем восстанавливать?
30 минут назад 00:03:04 1
Рама прямого привода для трубогиба. Инструкция. Паников Александр.
32 минуты назад 00:17:51 1
💥 Вам дают новые шансы,новые возможности...💯 🙏❤️💥
38 минут назад 00:00:55 1
🎁 С Юбилеем 35 лет! 🌷 Красивое поздравление с Днем Рождения 🎂🌸