Фейковый Viber крадёт данные пользователей. А в старых версиях Chrome нашли уязвимость, которая позволяет похищать пароли от домашних и корпоративных сетей Wi-Fi.
О появлении поддельного Viber сообщил специалист компании ESET Лукас Стефанко. На своей странице в Twitter он опубликовал информацию о приложении, которое маскируется под популярный месенджер. Оно распространяется через сайт, имитирующий Google Play, поэтому пользователям не рекомендуется переходить на скачивание Viber со сторонних ресурсов, а загружать его исключительно через стандартный сервис.
Твит Лукаса Стефанко
При установке фейковый Viber, кроме стандартных требований, запрашивает разрешение на доступ к памяти устройства и информации на SD-карте. Если пользователь дает такое разрешение, приложение похищает:
- медиа и документы из WhatsApp;
- медиа из WeChat;
- все сделанные фотографии;
- файлы из папки Download;
- записывает телефонные разговоры.
Более сложные манипуляции необходимо проделать, чтобы через Chrome украсть пароли для входа в домашнюю или корпоративную Wi-Fi-сеть. Об этом сообщил Эллиот Томпсон из британской компании SureCloud. Он опубликовал информацию, что старые версии браузера Chrome содержат соответствующую уязвимость, и продемонстрировал, как можно ее использовать.
Атака, названая Wi-Jacking, включает следующие шаги:
- ближайший атакующий, способный достичь сети Wi-Fi жертвы, отправляет запросы деаутентификации на маршрутизатор жертвы, отключая пользователя от его сети Wi-Fi;
- атакующий использует классическую атаку Karma, чтобы обмануть жертву для подключения пользователя к собственной вредоносной сети;
- хакер ждет, когда жертва получит доступ к HTTP-сайту;
- поскольку HTTP-трафик легко модифицировать, злоумышленник заменяет указанную страницу HTTP-страницей, которая имитирует страницу, характерную для домашних или корпоративных маршрутизаторов;
- эта страница содержит скрытые поля входа. Так как пользователь подключен к сети злоумышленника, злоумышленник может установить в качестве URL-адреса этой страницы точный URL-адрес роутера. В результате, если пользователь разрешил своему браузеру Chrome осуществлять автозаполнение форм, скрытые поля страницы веб-инрфейса роутера будут автоматически заполнены;
- атакующий останавливает атаку Karma и позволяет пользователю подключиться к своей первоначальной сети WiFi;
- если пользователь кликнет в любом месте страницы (или если пройдет определенное время), страница веб-интерфейса роутера, все еще загруженная в браузер пользователя, отправит учетные данные из скрытых полей ввода, на фактическую панель маршрутизатора. Это аутентифицирует жертву и позволяет злоумышленнику захватить ключ WPA/WPA2 PSK из настроек Wi-Fi роутера пользователя. С WPA/WPA2 PSK злоумышленник может войти в домашнюю сеть жертвы или в частную корпоративную сеть.
Для успешности такой атаки необходимо выполнение ряда условий:
- панель администратора роутера должна быть загружена через HTTP (большинство маршрутизаторов не поддерживают соединения HTTPS, а загрузка панели администратора через HTTP – практически стандартный метод для многих брендов);
- жертва должна ранее подключаться к любой открытой сети Wi-Fi и разрешить автоматическое повторное подключение;
- пользователь должен был предварительно настроить Chrome для запоминания и автозаполнения паролей, а также иметь в памяти браузера учетные данные администратора.
В выпущенной 5 сентября версии Chrome (69.0.3497.81) указанная уязвимость устранена. Кроме старых версий Chrome, Wi-Jacking также работает с Opera, а Firefox, Edge, Internet Explorer и Safari неуязвимы для этой конкретной атаки, потому что они автоматически не заполняют учетные данные в полях ввода, если пользователь не нажимает или не фокусируется на самой форме. Источник