¿Ha oído hablar de los ataques de archivos multimedia jacking? Este es el tipo de ataque que los actores maliciosos llegan a ser capaces de manipular archivos multimedia. Desafortunadamente, el ataque archivo multimedia jacking no es hipotética.
Moderno equipo OS de Seguridad de Symantec acaba de informar que WhatsApp y Telegrama son vulnerables a este ataque. WhatsApp para Android, en particular, es vulnerable por defecto, donde Telegrama para Android es cuando se habilitan las características específicas.
De dónde viene el archivo Jacking Stem vulnerabilidad De?
"Se deriva del lapso de tiempo entre el momento en archivos multimedia recibidos a través de las aplicaciones se escriben en el disco, y cuando se cargan en la interfaz de usuario de chat las aplicaciones (IU) para que los usuarios consumen", explicaron los investigadores en su informe.
El lapso de tiempo crítico se abre una puerta para que los atacantes interceptar y manipular archivos multimedia. Por supuesto, esto se hace sin el conocimiento o permiso del propietario del dispositivo Android. En caso de un ataque exitoso, información sensible podría ser objeto de abuso o alterado, incluyendo fotos y vídeos personales, documentos importantes, facturas, memos de voz. Además, actores de amenazas también podrían explotar las relaciones entre un emisor y un receptor en una comunicación a su beneficio personal.
La principal preocupación con esta vulnerabilidad, sin embargo, está en otra parte:
La amenaza de archivos multimedia con gato es especialmente preocupante a la luz de la percepción común de que la nueva generación de aplicaciones de mensajería instantánea es inmune a la manipulación contenido y riesgos de privacidad, Gracias a la utilización de mecanismos de seguridad, como el cifrado de extremo a extremo.
De archivo multimedia Jacking Ataque: las consecuencias
El ataque es similar a la denominada ataque man-in-the-disco. poco poner, una aplicación maliciosa instalado en el dispositivo del destinatario puede ser utilizado para secuestrar archivos de medios privados que se envían a través de almacenamiento externo del dispositivo.
Fundamentalmente, hay cuatro escenarios de ataque derivados de la vulnerabilidad de elevación archivo multimedia.
1. Manipulación de imagen, dónde "una aparentemente inocente, pero en realidad malicioso, aplicación descargada por un usuario puede manipular fotos personales en tiempo casi real y sin saber la víctima."
2. la manipulación de pago, dónde "un agente malicioso puede manipular una factura enviada por un proveedor a un cliente, para engañar al cliente a hacer un pago a una cuenta ilegítima."
3. spoofing mensaje de audio, dónde "un atacante explota las relaciones de confianza entre los empleados de una organización."
4. difusión de noticias falsas a través de telegramas: "en Telegrama, los administradores utilizan el concepto de “canales” para transmitir mensajes a un número ilimitado de abonados que consumen los contenidos publicados. Un atacante puede cambiar los archivos multimedia que aparecen en la alimentación del canal en tiempo real."
El equipo de seguridad Symantec ha notificado tanto Telegrama y Facebook sobre la vulnerabilidad archivo multimedia jacking. Es muy probable que Google va a abordar el problema con el lanzamiento de Q Android. Más detalles acerca de abordar la cuestión están disponibles en el informe.
Es de destacar que en agosto 2018, una vulnerabilidad particular, en WhatsApp podría permitir a usuarios maliciosos para infiltrarse en grupos de chat y manipular los mensajes de los usuarios individuales. Los piratas informáticos podrían tomar ventaja del método malicioso y abusar de ella para interceptar y modificar el contenido de los mensajes enviados en conversaciones privadas o grandes grupos de chat.
Arreglo fácil, almacenar un hash de imagen y ubicación.
De todos modos, casi no es un gran problema… oh no, las imágenes no coinciden con el texto debajo de ellas.. #truco obvio…
No parece ver este tipo de historias sobre Facebook que tienen un exploit casi todas las semanas tan malo como este.? Supongo que sabemos quién paga el servicio de noticias.. #obvio
#hecho