alizar 16 июл 2019 в 11:08

Подмена медиафайлов. Symantec указала на уязвимость WhatsApp и Telegram для Android

7 мин

8.7K

Информационная безопасность*Мессенджеры*Разработка под Android*

+12

Комментарии 22

mamont80 16 июл 2019 в 11:39

Не хранить в галереи может не всем понравиться. Возможно решить эту проблему достаточно просто: перед отображением файла сверять контрольную сумму с сохранённой внутри мессенджера. Если файл изменился — не показывать или предупреждать. С видеофайлами несколько контрольных сумм по фрагментам, т.к. большой размер.

Tomok 16 июл 2019 в 21:44

Или можно было бы шифровать все загружаемые файлы ключом пользователя. Но когда телегу волновала защита данных пользователя?..

ragman 16 июл 2019 в 11:44

Проверил указанные настройки в Telegram и WhatsApp — отключение указанных настроек только добавляет в каталоги программ файл .nomedia, который запрещает галерее искать в данном каталоге изображения и видео. Файлы не перемещаются во внутреннюю память и доступ к ним никак не блокируется.

me21 16 июл 2019 в 13:02

Возможно, только новые файлы будут сохраняться во внутренней памяти?

ragman 16 июл 2019 в 13:26

В Telegram у меня изначально была отключена настройка «Сохранять в галерее». И тем не менее, все файлы он сохраняет в общедоступной папке. И, кстати, в Whatsapp четко написано мелким шрифтом, что настройка переключает отображение медиафайлов в галерее телефона. Про место хранения там ни слова.

kapany3 16 июл 2019 в 12:28

У меня внутренне хранилище телефона все забито предустановленными прогами, которые без рута не удалишь. Если еще не будет возможности хранить файлы на внешнем, то приложением просто будет невозможно пользоваться

foxyrus 16 июл 2019 в 14:56

Всегда, у любых приложений можно очистить кеш или внутренне хранилище приложения (даже у системных)

corvair 16 июл 2019 в 13:31

Наверное, можно эксплуатировать и иные уязвимости, подсовывая вредоносный код в мультимедии.

tbl 16 июл 2019 в 14:40

Не понял про "медиафайл домкрата". Поясните, пожалуйста

xFFFF 16 июл 2019 в 15:18

Похоже на трудности перевода))

amarao 16 июл 2019 в 14:44

Тривиальный фикс: проверять хэш файла при загрузке с внешнего хранилища.

foxyrus 16 июл 2019 в 14:58

Слишком накладно, вот сделали вы фото на телефон, телеграм должен будет подсчитать хеш и сохранить у себя, при попытке отправить этот же файл должен будет сверить с тем что у него в сохранено и так с каждым новым файлом.

amarao 16 июл 2019 в 15:01

Как вы думаете, что быстрее — шифровать поток передаваемый по TLS или посчитать хэш файла? Стоимость подсчёта хешей пренебрежима на фоне всех остальных операций (раскодирование того же самого jpg для показа).

time sha1sum  ~/Pictures/foto/20140922_113702.jpg
...
real    0m0.037s
user    0m0.013s
sys 0m0.000s

foxyrus 16 июл 2019 в 15:04

Я не о времени в целом, а о вычислении хэша для каждого нового файла во всех папках. Вдруг пользователь захочет отправить этот файл в будущем.

Yuri_M 16 июл 2019 в 15:52

Зачем вычислять до того, как файл будет отправляться/использоваться?
Но в любом случае вычисление хеша — задача крайне простая.

foxyrus 16 июл 2019 в 22:22

Так «вирус» может подменять и отправляемый файл, хотим отправить фотку из отпуска, отправляется экземпляр вируса например.

cheremsha11 16 июл 2019 в 21:44

Как вариант проверять хеш всей папки после каждого изменения.

amarao 16 июл 2019 в 22:10

Если мы файл отправляем — как раз в этот момент и проверяем чексумму. С другой стороны я не понимаю, почему пользователь не может отредактировать картинку в фотошопе. Т.е. это не в модели угроз.

Атака была другая — прислали один файл, а в момент показа пользователю — файл уже другой. Вот от этого как раз чексумма и поможет. Приняли, сохранили, начинаем показывать — прочитали, проверили.

keydon2 16 июл 2019 в 17:01

Исследователи открыли, что оказывается установленное вредоносное ПО способно и в файлы писать! А эти файлы (о ужас!) могут использоваться другими приложениями. А пользователи более 8 лет дают приложениям доступ на запись и никто с этим ничего поделать не может! Вот опасность же, никогда не было и вот опять!

amarao 16 июл 2019 в 22:11

Читать надо точнее. Речь идёт о другом — файлы используются как кеш между моментом приёмки и показа пользователю. Вот в этот момент возможна модификация, так что в интерфейсе будет казаться, что прислали другой файл. Люди считают, что если im показывает что-то, то это то, что прислал собеседник, а не то, что ему рядом кто-то редактировал без его согласия.

DerRotBaron 17 июл 2019 в 12:07

Мне кажется, что это возникло из заведомо опасного предположения, что наличие вредоносного ПО на устройстве это совершенно естественно, и любые урезания прав и возможностей пользователя быть владельцем своего устройства абсолютно оправданы.
И, похоже, исходя из этого же функции слива данных пользователя, присутствующие в большей части популярных "официальных" приложений, почти всегда принимается нормально.

teecat 5 авг 2019 в 16:45

А что тут за предположение? Вот сегодня случай из расследования

Файл с угрозой надодится в системной области (путь к файлу начинается с /system).
Android.Lqsoft.3 в Makeup_export.apk
Судя по всему, угроза в системной области была изначально — т.е. была предустановлена производителем.

И без рутования эту штуку не пролечишь. А рутовать — терять поддержку

На дешевых андроидах наличие троянов — совершенно естественно

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Подмена медиафайлов. Symantec указала на уязвимость WhatsApp и Telegram для Android

Комментарии 22

Другие новости

Истории