Despre ”media file jacking”

A apărut un nou tip de atac în oraș. Acesta poartă numele de ”media file jacking” conform celor de la Symantec. Cei de la WhatsApp și Telegram într-adevăr oferă criptare end-to-end conversațiilor voastre, dar din momentul în care fișierul este salvat pe telefon, acesta poate fi modificat de către hackeri.

Cei de la Symantec au demonstrat multiple tipuri de atac care țintesc aplicațiile WhatsApp și Telegram. Scopul acestor atacuri poate fi oricare, pornind de la distribuția de fake news până la efectuarea de plăți direct în conturile hackerilor.

Intitulat ”media file jacking”, acesta profită de faptul că orice aplicație instalată pe un dispozitiv, poate accesa și rescrie fișierele salvate, inclusiv fișiere salvate de alte aplicații pe același dispozitiv.

Cele două aplicații de mesagerie permit utilizatorilor să aleagă opțiunea de a salva toate fișierele multimedia primite în mod automat pe storageul intern sau extern al dispozitivului în cauză.

WhatsApp pentru Android salvează în mod automat fișierele în storageul extern, în timp ce Telegram pentru Android folosește storageul intern pentru a nu permite altor aplicații să acceseze sau să modifice conținutul fișierelor.

Dar, mulți utilizatori ai aplicației Telegram modifică această setare pentru a salva fișierele pe storageul extern, folosind opțiunea ”Save to Gallery” ce se regăsește în setări. Acest lucru le ușurează viața utilizatorilor în momentul în care vor să share-uiască mai departe fișierele respective în alte aplicații printre care enumerăm Gmail, Facebook Messenger sau chiar WhatsApp.

Trebuie subliniat faptul că acest tip de atac este valid și pentru alte aplicații. Media file jacking afectează funcționalitățile și intimitatea multor aplicații de Android.

Cum funcționează ”media file jacking”

Momentan, acest atac este valid doar pe dispozitivele Android.

Pentru ca acest atac să poată fi realizat, este nevoie ca o aplicație deja infectată să fie instalată pe dispozitivul vostru. Scopul aplicației este de a monitoriza folderul unde se salvează fișierele multimedia, iar în cazul primirii unui fișier nou, aplicația deja infectată poate face modificări asupra fișierelui primit astfel încât să afișeze altceva față de fișierul original.

”Showtime”

  • Manipularea imaginilor

În acest scenariu, aplicația mai sus menționată, monitorizează folderul unde se stochează pozele de pe WhatsApp, iar dupa ce poza este salvată, aplicația modifică conținutul pozei conform videoclipului de mai sus.

  • Manipularea plăților

În acest scenariu, aceași aplicație infectată monitorizează folderul unde se stochează fișierele multimedia, iar când aceasta observă un PDF nou, modifică detaliile referitoare la destinaturul plății cu cele ale hackerilor.

  • Manipularea mesajelor audio

În acest scenariu, aceeași aplicație monitorizează folderul de fișiere de multimedia, iar când aceasta observă un mesaj audio nou, manipulează mesajul audio în interesul hackerilor.

  • Distribuirea de fake news

Atât în ”canalele” de Telegram cât și în grupurile de WhatsApp, fișierele media primite pot fi manipulate astfel încât să faciliteze distribuția de fake news și timp real.

Pașii următori

Cei de la Symantec i-au înștiințat pe cei de la Telegram și Facebook/WhatsApp în privința vectorului numit ”media file jacking”. Aceștia presupun că acest atac va fi soluționat în următoare versiune de Android, intitulata Android Q, deoarece acest update va introduce o funcționalitate de confidențialitate intitulată ”Scoped Storage”. Aceasta oferă fiecărei aplicații un spațiu de stocare isolat, care nu poate fi accesat de alte aplicații.

Mitigare

Pentru a vă proteja în această privință, utilizatorii trebuie să dezactiveze funcționalitatea responsabilă de salvatul fișierelor media în storageul extern al dispozitivului. Pentru a realiza acest lucru trebuie să urmați următori pași:

  • WhatsApp: Settings -> Chats -> Turn the toggle off for "Media Visibility"
  • Telegram: Settings -> Chat Settings -> Disable the toggle for "Save to Gallery"
Dacă ați fost afectați de această metodă de "media file jacking", vă aștept să vă împărtășiți experiențele pe pagina de Facebook.