Фейковый Viber крадёт данные пользователей. А в старых версиях Chrome нашли уязвимость, которая позволяет похищать пароли от домашних и корпоративных сетей Wi-Fi.

О появлении поддельного Viber сообщил специалист компании ESET Лукас Стефанко. На своей странице в Twitter он опубликовал информацию о приложении, которое маскируется под популярный месенджер. Оно распространяется через сайт, имитирующий Google Play, поэтому пользователям не рекомендуется переходить на скачивание Viber со сторонних ресурсов, а загружать его исключительно через стандартный сервис.

Твит Лукаса Стефанко

При установке фейковый Viber, кроме стандартных требований, запрашивает разрешение на доступ к памяти устройства и информации на SD-карте. Если пользователь дает такое разрешение, приложение похищает:

• медиа и документы из WhatsApp;
• медиа из WeChat;
• все сделанные фотографии;
• файлы из папки Download;
• записывает телефонные разговоры.

Более сложные манипуляции необходимо проделать, чтобы через Chrome украсть пароли для входа в домашнюю или корпоративную Wi-Fi-сеть. Об этом сообщил Эллиот Томпсон из британской компании SureCloud. Он опубликовал информацию, что старые версии браузера Chrome содержат соответствующую уязвимость, и продемонстрировал, как можно ее использовать.

Атака, названая Wi-Jacking, включает следующие шаги:

• ближайший атакующий, способный достичь сети Wi-Fi жертвы, отправляет запросы деаутентификации на маршрутизатор жертвы, отключая пользователя от его сети Wi-Fi;
• атакующий использует классическую атаку Karma, чтобы обмануть жертву для подключения пользователя к собственной вредоносной сети;
• хакер ждет, когда жертва получит доступ к HTTP-сайту;
• поскольку HTTP-трафик легко модифицировать, злоумышленник заменяет указанную страницу HTTP-страницей, которая имитирует страницу, характерную для домашних или корпоративных маршрутизаторов;
• эта страница содержит скрытые поля входа. Так как пользователь подключен к сети злоумышленника, злоумышленник может установить в качестве URL-адреса этой страницы точный URL-адрес роутера. В результате, если пользователь разрешил своему браузеру Chrome осуществлять автозаполнение форм, скрытые поля страницы веб-инрфейса роутера будут автоматически заполнены;
• атакующий останавливает атаку Karma и позволяет пользователю подключиться к своей первоначальной сети WiFi;
• если пользователь кликнет в любом месте страницы (или если пройдет определенное время), страница веб-интерфейса роутера, все еще загруженная в браузер пользователя, отправит учетные данные из скрытых полей ввода, на фактическую панель маршрутизатора. Это аутентифицирует жертву и позволяет злоумышленнику захватить ключ WPA/WPA2 PSK из настроек Wi-Fi роутера пользователя. С WPA/WPA2 PSK злоумышленник может войти в домашнюю сеть жертвы или в частную корпоративную сеть.

Для успешности такой атаки необходимо выполнение ряда условий:

• панель администратора роутера должна быть загружена через HTTP (большинство маршрутизаторов не поддерживают соединения HTTPS, а загрузка панели администратора через HTTP — практически стандартный метод для многих брендов);
• жертва должна ранее подключаться к любой открытой сети Wi-Fi и разрешить автоматическое повторное подключение;
• пользователь должен был предварительно настроить Chrome для запоминания и автозаполнения паролей, а также иметь в памяти браузера учетные данные администратора.

В выпущенной 5 сентября версии Chrome (69.0.3497.81) указанная уязвимость устранена. Кроме старых версий Chrome, Wi-Jacking также работает с Opera, а Firefox, Edge, Internet Explorer и Safari неуязвимы для этой конкретной атаки, потому что они автоматически не заполняют учетные данные в полях ввода, если пользователь не нажимает или не фокусируется на самой форме.

Источник: nag.ru