- Статус
- Offline
- Регистрация
- 3 Июл 2016
- Сообщения
- 2,444
- Реакции
- 344
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
Практически все популярные мобильные мессенджеры имеют уязвимости в коде, которые могут быть использованы злоумышленниками, выяснила компания Solar Security. При этом в коммуникационных приложениях для iOS эксперты нашли больше ошибок, чем в их версиях для Android. Сами мессенджеры пока не подтверждают наличие проблем с безопасностью.
Разработчик софта Solar Security подвел итоги исследования защищенности девяти наиболее популярных мобильных мессенджеров. С помощью технологии автоматического бинарного анализа был проверен код Telegram, WhatsApp, Viber, Facebook Messenger, Signal, Slack, Skype, WeChat и QQ International. Согласно результатам исследования (есть у "Ъ"), эксперты не обнаружили в Signal под Android критических уязвимостей, однако код приложения содержит шесть ошибок среднего уровня и семь — низкого уровня. В Facebook Messenger и Slack эксперты нашли по четыре критических уязвимости, в остальных — еще больше.
По данным Solar Security, наиболее частые критические уязвимости мессенджеров на Android — слабые алгоритмы шифрования и хеширования, небезопасные реализации SSL, использование пустых паролей. Эти ошибки, по мнению экспертов, повышают риски компрометации переписки, логинов и паролей, хранимых на устройстве. Небезопасная реализация SSL, как указали эксперты, увеличивает риск подмены сертификата и перехвата данных. "Эта уязвимость может быть эксплуатирована при использовании общественного Wi-Fi, в этом случае злоумышленник пропускает через себя весь трафик между мессенджером жертвы и сервером",— пояснили в Solar Security.
В iOS-версиях приложений эксперты обнаружили больше ошибок. Так, в Facebook Messenger они нашли 12 критических уязвимостей, в Viber — 15, а в Skype — 17. Больше всего ошибок и для iOS, и для Android было обнаружено в китайских мессенджерах QQ International и WeChat. Относительно высокое количество ошибок, найденное в iOS-мессенджерах, может быть связано с тем, что разработчики Android "априори более внимательно относятся к уровню защищенности приложения", поскольку сама Android считается менее безопасной, считает руководитель направления Solar inCode компании Solar Security Даниил Чернов.
В Viber сообщили, что компания никогда не находила в своем мессенджере критических уязвимостей. В компании утверждают, что качество приложений проверяют специалисты Viber и сторонние эксперты, кроме того, используются "средства автоматизации и аналитики для выявления ошибок и оперативного исправления сбоев в работе приложения". "Наши команды, отвечающие за безопасность, создают такие системы кодирования, которые позволяют инженерам и разработчикам автоматически следовать лучшим практикам обеспечения безопасности и фактически исключать целое множество типов угроз",— сообщил "Ъ" представитель Facebook, который владеет Facebook Messenger и WhatsApp.
Безопасность современных мессенджеров вышла на новый уровень хотя бы потому, что уже никто не отправляет данные по незащищенным каналам связи, считает руководитель подразделения Instant Messaging в Mail.Ru Group Игорь Ермаков. Тем не менее проблемы с реализацией механизма шифрования, выбором надежного алгоритма и всевозможным вариантами MITM-атак остаются актуальными, констатирует эксперт.
Подробнее: Мессенджерам задали работу над ошибками – Газета Коммерсантъ № 53 (6047) от 29.03.2017
Разработчик софта Solar Security подвел итоги исследования защищенности девяти наиболее популярных мобильных мессенджеров. С помощью технологии автоматического бинарного анализа был проверен код Telegram, WhatsApp, Viber, Facebook Messenger, Signal, Slack, Skype, WeChat и QQ International. Согласно результатам исследования (есть у "Ъ"), эксперты не обнаружили в Signal под Android критических уязвимостей, однако код приложения содержит шесть ошибок среднего уровня и семь — низкого уровня. В Facebook Messenger и Slack эксперты нашли по четыре критических уязвимости, в остальных — еще больше.
По данным Solar Security, наиболее частые критические уязвимости мессенджеров на Android — слабые алгоритмы шифрования и хеширования, небезопасные реализации SSL, использование пустых паролей. Эти ошибки, по мнению экспертов, повышают риски компрометации переписки, логинов и паролей, хранимых на устройстве. Небезопасная реализация SSL, как указали эксперты, увеличивает риск подмены сертификата и перехвата данных. "Эта уязвимость может быть эксплуатирована при использовании общественного Wi-Fi, в этом случае злоумышленник пропускает через себя весь трафик между мессенджером жертвы и сервером",— пояснили в Solar Security.
В iOS-версиях приложений эксперты обнаружили больше ошибок. Так, в Facebook Messenger они нашли 12 критических уязвимостей, в Viber — 15, а в Skype — 17. Больше всего ошибок и для iOS, и для Android было обнаружено в китайских мессенджерах QQ International и WeChat. Относительно высокое количество ошибок, найденное в iOS-мессенджерах, может быть связано с тем, что разработчики Android "априори более внимательно относятся к уровню защищенности приложения", поскольку сама Android считается менее безопасной, считает руководитель направления Solar inCode компании Solar Security Даниил Чернов.
В Viber сообщили, что компания никогда не находила в своем мессенджере критических уязвимостей. В компании утверждают, что качество приложений проверяют специалисты Viber и сторонние эксперты, кроме того, используются "средства автоматизации и аналитики для выявления ошибок и оперативного исправления сбоев в работе приложения". "Наши команды, отвечающие за безопасность, создают такие системы кодирования, которые позволяют инженерам и разработчикам автоматически следовать лучшим практикам обеспечения безопасности и фактически исключать целое множество типов угроз",— сообщил "Ъ" представитель Facebook, который владеет Facebook Messenger и WhatsApp.
Безопасность современных мессенджеров вышла на новый уровень хотя бы потому, что уже никто не отправляет данные по незащищенным каналам связи, считает руководитель подразделения Instant Messaging в Mail.Ru Group Игорь Ермаков. Тем не менее проблемы с реализацией механизма шифрования, выбором надежного алгоритма и всевозможным вариантами MITM-атак остаются актуальными, констатирует эксперт.
Подробнее: Мессенджерам задали работу над ошибками – Газета Коммерсантъ № 53 (6047) от 29.03.2017
