Исследование: мессенджеры на iOS более уязвимы, чем их Android-версии
С помощью технологии автоматического бинарного анализа был проверен код Telegram, WhatsApp, Viber, Facebook Messenger, Signal, Slack, Skype, WeChat и QQ International. Эксперты не обнаружили в Signal под Android критические уязвимости, однако код приложения содержит шесть ошибок среднего уровня и семь — низкого уровня. В Facebook Messenger и Slack эксперты нашли по четыре критических уязвимости в каждом, в остальных — еще больше, продолжает газета.
Еще больше ошибок было обнаружено в iOS-версиях приложений. Так, в Facebook Messenger было найдено 12 критических уязвимостей, в Viber — 15, в Skype — 17. Больше всего ошибок для iOS и Android было обнаружено в китайских мессенджерах QQ International и WeChat. По мнению Даниила Чернова, руководителя направления Solar inCode компании Solar Security, разработчики приложений на Android более внимательно относятся к уровню защищенности приложения, поскольку сама ОС считается менее безопасной, и с этим может быть связано большее количество ошибок в iOS-мессенджерах, отмечает издание.
Наиболее частные критические уязвимости мессенджеров на Android — слабые алгоритмы шифрования и хеширования, небезопасные реализации SSL и использование пустых паролей. Эксперты считают, что подобные ошибки повышают риски компрометации переписки, а также логинов и паролей, хранимых на устройстве.
Небезопасная реализация SSL увеличивает риск подмены сертификата и перехвата данных, полагают эксперты. В Solar Security подчеркивают, что эта уязвимость может быть эксплуатирована при использовании общественного Wi-Fi, если злоумышленник пропускает через себя весь трафик между мессенджером жертвы и сервером.
В Viber сообщили изданию, что компания никогда не находила в своем мессенджере критических уязвимостей. Представитель Facebook (компания владеет Facebook Messenger и WhatsApp) сообщил газете, что новые продукты соцсети проходят проверку на безопасность с помощью специальных команд, а также участвуют в программе, предлагающей вознаграждение сторонним специалистам, которые передают в Facebook информацию о выявленных ошибках. В Microsoft (владеет Skype) пояснили «Коммерсанту», что регулярно проводят проверки кода.
