Gen компаниясының мамандары WhatsApp-та аккаунттарды басып алуның GhostPairing деп аталатын жаңа схемасы туралы хабарлады. Шабуыл қарапайым көрінеді және дерлік күдік тудырмайды, алайда оның нәтижесінде қаскөйлер парольді бұзбай және СМС-ті ұстап алмай-ақ жәбірленушінің хат алмасуына, медиафайлдарына және байланыс тізіміне толық қол жеткізеді.
Науқан Чехияда тіркелді, онда жұқтырылған аккаунттардан таныс адамдарға қысқа хабарламалар жіберіле бастады. Әдетте мәтінде қандай да бір фото туралы айтылып, Facebook стиліндегі превью ретінде рәсімделген сілтеме қоса берілді. Сілтеме арқылы өткеннен кейін әлеуметтік желінің фирмалық түстері мен логотипі бар қарапайым бет ашылып, мазмұнды көру алдында әрекетті растау ұсынылды.
Шын мәнінде, мұндай сайттардың Facebook-ке еш қатысы болған жоқ. Олар фото мен жарияланымдарға қатысты атаулары бар домендерді пайдаланып, пайдаланушы мен WhatsApp-тың заңды инфрақұрылымы арасында делдал қызметін атқарды. Жәбірленушіні жаңа құрылғыны байланыстыру рәсіміне әкеліп, оны кәдімгі тексеру ретінде көрсетті. Нұсқалардың бірінде QR-код, екіншісінде — қосымшада енгізу ұсынылатын сандық код көрсетілді.
Шабуылдың негізгі ерекшелігі — пайдаланушы бөгде құрылғының қосылуын өзі растайды. Телефон нөмірі арқылы байланыстыру функциясы арқылы сайт нөмірді WhatsApp-қа жібереді, жұптастыру кодын алады және оны қосымшада енгізу жөніндегі нұсқаулықпен бірге жәбірленушіге көрсетеді. Нәтижесінде қаскөйлердің браузері байланыстырылған құрылғы ретінде қосылып, кәдімгі WhatsApp Web-пен бірдей құқықтарға ие болады.
Осыдан кейін шабуылдаушы тарап ескі және жаңа хабарламаларды оқи алады, медиафайлдарды қарай және жүктей алады, сезімтал деректерді жинайды және аккаунт иесінің атынан жаңа алдамшы хабарламалар тарата алады. Бұл ретте негізгі телефон қалыпты жұмысын жалғастырады, ал қосымша құрылғының бар екені, әдетте, баптаулардағы қосылған сеанстар тізімін тексермесе, байқалмай қалады.
Схеманың таралуы адамдар арасындағы сенімнің арқасында жүзеге асады. Бір аккаунтқа қол жеткізген соң, қаскөйлер дәл осындай қысқа хабарламаларды оның байланыстарына және топтық чаттарға жібереді. Қысқа әрі түсіндірмесіз хабарламалар сақтықты төмендетіп, шабуылдың жылдам кеңеюіне мүмкіндік береді.
Есеп авторлары GhostPairing сервистің штаттық мүмкіндіктерін пайдаланатынын және құпия деректерді ұрлауды талап етпейтінін атап өтеді. Қауіптің артуына байланысты құрылғылардың қолмен ажыратылғанға дейін қолжетімділікті сақтауы себеп болады. Олардың пікірінше, жағдайды құрылғыларды қосу кезінде анағұрлым көрнекі ескертулер, жаңа сеанстар туралы кеңейтілген ақпарат және жаппай байланыстыру әрекеттеріне шектеулер жақсарта алар еді.
Бұл жағдайда әңгіме WhatsApp туралы болғанымен, шабуыл моделі нақты бір қосымшамен шектелмейді. Кодтар арқылы немесе негізгі құрылғыда растау негізінде жылдам жұптастыру рәсімдерін қолданатын кез келген сервис осындай сценарийлерге әлеуетті түрде осал. GhostPairing әлеуметтік инженерия мен заңды функциялардың үйлесуі аккаунттардың байқалмай және ұзақ мерзімді түрде бұзылуына әкелуі мүмкін екені туралы ескерту ретінде қарастырылады.
Толығырақ: https://www.securitylab.ru/news/567291.php
