Эксперт Positive Technologies помог устранить критически опасную уязвимость в Viber для Windows
Уязвимость Windows-клиента Viber, обнаруженная некоторое время назад группой исследователей информационной безопасности из России и Казахстана, в числе которых эксперт Positive Technologies, успешно устранена. Ошибка позволяла похищать технические данные для аутентификации пользователя под Windows.
«Суть атаки заключалась в том, что при отправке в чат ссылки вида http://host/img.jpg приложение сначала загружало ее от имени клиента, который осуществлял отправку, — и если по данному адресу содержалась картинка, то затем Viber пытался загрузить ее уже от имени принимающего клиента; схема не срабатывала, если клиент-инициатор не подтверждал наличие изображения по ссылке», — рассказывает Тимур Юнусов, руководитель отдела безопасности банковских систем Positive Technologies.
Если вместо изображения сервер отправлял сообщение с кодом 401 на второй запрос и запрашивал NTLM-аутентификацию вместо изображения, то приложение ее проводило.
Помимо разглашения NTLM-хеша, уязвимость позволяла совершать произвольные GET-запросы от имени атакуемого клиента. Это, к примеру, могло позволить осуществлять перепрограммирование домашних роутеров и других устройств.
«Атаку мог произвести только злоумышленник, чей номер мобильного телефона сохранен в списке контактов пользователя. Поэтому массовой атаки на пользователей Windows удалось избежать. Также заметим, что, как правило, для успешной атаки требуется совершить целую серию GET-запросов. Иными словами, злоумышленнику нужно отправить несколько ссылок потенциальной жертве. Около 6% из общего числа активных пользователей в России за последний месяц хотя бы один раз отправляли сообщение, использовали звонки или просматривали паблик-чат с устройств на Windows », — прокомментировали в пресс-службе Viber.
Уязвимость Windows-клиента Viber была устранена и отсутствует в обновленной версии Viber 6.7.2, которая уже доступна для загрузки.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш