Новый вирус похищает переписку из Telegram, Viber, WhatsApp, Skype и других мессенджеров

С каждым днем все больше владельцев смартфонов отдают приоритет мобильным мессенджерам, популярный представитель которых — Viber, позволяющий удобно объединить переписку на разных устройствах. Неудивительно, что исследованию их безопасности в последнее время уделяется пристальное внимание. Думаешь, Viber полностью надежен и неспособен тебя подвести? Ну что ж, давай посмотрим, насколько это соответствует истине.

Маленький рисерч Viber

Не так давно стало известно об уязвимости в iMessage. Как обнаружил независимый исследователь Росс Маккиллоп (Ross McKillop), предварительный просмотр URL раскрывает данные об IP-адресе пользователя, версии ОС и другие данные об устройстве. Причина заключалась в том, что при построении превьюшки запросы отправлялись непосредственно с устройства. Таким образом, когда iMessage запрашивал данные о каком-либо сайте, то раскрывал адрес пользователя и сведения о его устройстве.

Более корректная архитектура мессенджера предполагает предварительное кеширование контента на своих серверах и дальнейшую загрузку уже оттуда, как это реализовано, например, в Facebook, Twitter и Skype. Давай разберемся, как строится preview по URL в Viber и какие последствия может иметь маленький недочет в проектировании ПО.

Кто принимал участие в исследовании

    Игорь @almart_oO (автор статьи) Комьюнити cybersec.kz (ЦАРКА) Тимур Юнусов (Positive Technologies) Сергей Белов (Digital Security) Антон «Bo0oM» Лопаницын (Wallarm)

Для начала просто отправим сообщение, содержащее корректный URL картинки, размещенной на нашем сервере, например http://host/img.jpg
, и посмотрим логи.

Как видим, iMessage не был исключением, и Viber аналогично скомпрометировал IP-адрес получателя сообщения (reciever_ip). Но что будет, если под видом картинки мы попробуем выполнить redirect получателя в произвольном направлении? Вернем код ответа сервера 301 и в HTTP-заголовках укажем поле Location: http://somehost.ru
.

Лог отличается от предыдущего отсутствием GET-запросов от отправителя и получателя сообщения. С чем это может быть связано? Попробуем в ответ на HEAD вернуть настоящий заголовок картинки, а для GET выполнить перенаправление:

На этот раз Viber успешно перенаправил обоих участников переписки — это говорит о том, что Viber выполняет верификацию картинки с помощью начального HEAD-запроса.

А теперь давай проведем эксперимент с cookie. Разместим на сервере простой скрипт для генерации картинки со значением из cookie, увеличивая его на единицу при каждом запросе:

В .htaccess добавим записи:

Отправим два сообщения со ссылками на наш хост, например:

и

Эксперимент с cookie
Эксперимент с cookie

Как видно из скриншота, от сообщения к сообщению Viber собирает и хранит выданные ему cookies.

Особенности Windows-клиента Viber

А теперь заглянем в директорию Viber, обычно это C:UsersusernameAppDataLocalViber
. Наличие файла Qt5WebEngine.dll
, как и UserAgent Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_4) AppleWebKit/537.36 (KHTML, like Gecko) QtWebEngine/5.6.0 Chrome/45.0.2454.101 Safari/537.36
, который мы наблюдали при создании миниатюр, подсказывает, что используется Qt-модуль QtWebEngine
. Надо сказать, что в большинстве Windows-версий популярных браузеров реализован механизм аутентификации с помощью NTLM, имеющий по умолчанию ограниченный список ресурсов, вход на которые выполняется автоматически.

NTLM-аутентификация

В Firefox разрешенные ресурсы задаются полем network.automatic-ntlm-auth.trusted-uris
в редакторе настроек about:config
. По умолчанию данный список пуст.

В Chrome и IE политика безопасности в отношении NTLM-аутентификации строится на основе настроек IE (Tools > Internet Options > Security > Internet > User Authentication > Logon
). По умолчанию там задан параметр Automatic logon only in Intranet zone
, разрешающий автологин только внутри интрасети.

Интересно, а какие настройки безопасности по умолчанию имеет QtWebEngine? Один из способов узнать это — создать тестовое приложение с этим же модулем, например используя среду Qt Designer для Windows. Перенаправим GET-запросы с сервера по URI /a_1.jpg
на предварительно развернутую утилиту Responder, которая реализует цепочку ответов, необходимых для входа по NTLM. Параллельно запустим WireShark для анализа пакетов. Затем, используя встраиваемый компонент на основе QtWebEngine в Qt Designer, откроем a_1.jpg
и посмотрим историю запросов в WireShark.

Компонент QtWebEngine в Qt Designer
Компонент QtWebEngine в Qt Designer
Запросы NTLM-аутентификации в WireShark
Запросы NTLM-аутентификации в WireShark

Цепочка запросов говорит об успешной работе механизма NTLM-аутентификации на произвольном интернет-ресурсе. Последний HTTP-запрос от клиента включает данные о пользователе Windows, в том числе имя пользователя и NTLMv2-хеш пароля. Сможем ли мы получить хеш пароля от Windows, отправив всего одно Viber-сообщение? Узнаем при эксплуатации…

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

Я уже участник «Xakep.ru»

11 июля очередное вирус (троян) внедрился в популярные мессенджеры Skype, WhatsApp, Viber и Telegram поставил под угрозу полмиллиарда смартфонов.

Эксперты компании Palo Alto Networks обнаружили нового трояна программу SpyDealer для Android, которая может перехватывать звонки, SMS, делать фото со встроенных камер и крадет персональные данные о владельцах зараженных устройств.

Этот вирус — шпионский инструмент направленного действия.

Троянец способен обеспечивать для зараженных им приложений административные привилегии с помощью эксплойтов из коммерческого приложения Baidu Easy Root, и этим обеспечивает себе возможность сбора данных и защищает себя от попыток удаления.

После установки троян регистрирует в системе два приемника, которые, в свою очередь, регистрируют загрузки устройства и статус беспроводного соединения. При первом запуске троянец считывает данные настроек из локального файла readme.txt — это IP-адрес командных серверов, а также функции, которые разрешено выполнять при подключении к сотовым сетям и/или к Wi-Fi.

Троян угрожает около 500 млн Android-устройств

Всего троянец может выполнять более полусотни различных команд. Для перехвата отдельных сообщений троян использует штатную функцию Android AccessibilityService.

В частности, троянец способен красть данные из популярных мессенджеров WeChat, WhatsApp, Skype, Line, Viber, QQ, Tango, Telegram, Sina Weibo, Tencent Weibo. Заражения происходят:

  • из установленного приложения Facebook,
  • предустановленного браузера Android,
  • браузеров Firefox и Oupeng,
  • почтовых клиентов QQ Mail, NetEase Mail, Taobao и Baidu Net Disk.

Что может делать вирус SpyDealer

  • Проникнув на устройство, он собирает и переправляет на контролирующие серверы все доступные личные данные, в том числе номер телефона, данные IMEI, IMSI, сообщения SMS и MMS, список контактов, историю телефонных звонков, географическое местоположение и информацию о текущих соединениях Wi-Fi.
  • В некоторых случаях он может принимать телефонные звонки с определенного номера, записывать разговоры, делать скриншоты и снимки с помощью передней и тыловой камер.

— Все вместе это выглядит как «джентльменский набор» шпионских инструментов, причем, скорее всего, разрабатывавшийся для весьма избирательного применения, вплоть до слежки за конкретными лицами, — считает Ксения Шилак, директор по продажам компании SEC Consult. — На это, в частности, может указывать то, что часть жертв могла заразиться через скомпрометированные беспроводные сети.

Эксперты Palo Alto отмечают, что вирус не распространяется через приложения в официальном магазине Google Play Store (но ничего не говорят об альтернативных источниках приложений) и что как минимум некоторые пользователи в Китае были заражены через скомпрометированные Wi-Fi-соединения, которые могут встречаться как в публичных кафе, так и в отелях любого уровня.

Не ждите когда вас взломают!

Закажите апгрейд вашего сайта прямо сейчас!

Оставить заявку

Какие устройства повергаются заражению вирусом SpyDealer

Вирус воздействует в первую очередь на смартфоны старых версий, которые не обновляют свою операционную систему. Так как распространение новых операционных систем среди пользователей происходит ощутимо медленнее, чем их выпуск.

По состоянию на июнь 2017 г. доля версий до 4.4.х включительно весьма высока — около 25%. Версия 5.0 обогнала 4.4 по популярности только весной 2016 г., так что на момент своего предполагаемого запуска SpyDealer атаковал наиболее распространенные версии мобильной ОС.

SpyDealer может собирать довольно значительное количество данных и на версиях от пятой и выше, но реализованные в них защитные механизмы препятствуют выполнению функций, требующих повышенных привилегий.

Таким образом, из примерно 2 млрд работающих в мире Android-устройств, под ударом SpyDealer находятся около 500 млн.

Разработка троянца, судя по всему, активно продолжается, так что нельзя исключать, что пользователи коммуникационных приложений под более новыми версиями Android скоро также могут оказаться под угрозой.

Источник: cnews.ru

Популярные материалы по теме КИБЕР БЕЗОПАСНОСТЬ и хакерские атаки

news.detail : ajax-tape !!! —>
AndroidВирусыМессенджерыБезопасность

—>

Специалисты компании Trustlook Labs выявили заражённое трояном приложение Cloud Module, которое было создано для устройств на базе Android. После установки оно закрепляется в системе, не давая себя удалить, и похищает переписку из любых популярных мессенджеров.  Встроенный в Cloud Module троян не обнаруживает большинством антивирусов. Он вносит изменения в файл /system/etc/install-recovery.sh, благодаря чему автоматически запускается после каждой перезагрузки устройства. Вирус написан очень изящно: в нём используется шифрование и антиэмулятор, препятствующий динамическому анализу кода. Приложение Cloud Module распространяется через пиратские магазины контента, в Google Play Маркете его нет. Канал iG в Telegram — t.me/iguides_ru

Источник:

Trustlook

Ссылки по теме:

Хакеры внедрили вирус в самую популярную программу для чистки компьютера

В «Сколково» похоронили вирус Petya

На Android появился вирус-вымогатель, меняющий PIN-код

Рейтинг автора
5
Подборку подготовил
Андрей Ульянов
Наш эксперт
Написано статей
168
Ссылка на основную публикацию
Похожие публикации