天创培训:您身边的信息安全培训专家!
行业动态
思科:多款主流信息传递应用程序易遭到会话劫持

思科:多款主流信息传递应用程序易遭到会话劫持

思科(Cisco)的Talos安全研究人员警告称,Telegram、Signal和WhatsApp等(安全)信息传递应用程序可以通过会话劫持攻击暴露用户信息。

这三个应用程序都提供端到端加密,它们声称能够通过加密和防止第三方访问用户的消息来保护用户的消息安全。然而,根据Talos研究人员的研究,这并不完全准确,因为对话可能在某些场景中被公开。大多数开发者忽视了一个主要问题:这些应用程序假定用户接受过安全教育,并且了解在设备上启用某些设置的风险。而随着数以亿计的用户使用这些应用,情况显然不是这样。

Talos指出,这些应用程序加密了用户之间所有通信的内容,从而使信息不至于泄露给第三方。因此,服务提供者或任何嗅探网络流量的人在任何时候都不应该能够读取内容。但是,当在用户设备上处理数据或消息时,安全性未必能得到充分保障。

这些即时通讯应用程序还支持主要的移动设备平台和桌面版本,Talos发现攻击者可以使用恶意软件从桌面版本劫持会话并在用户不知情的情况下访问数据,或者在用户意识到问题之前已经执行完一系列操作。

  • 在Telegram上,会话劫持最有可能在没有用户注意到的情况下发生,所以攻击者能够接收受害者发送或接收的所有消息。攻击者可以使用窃取的会话信息建立新会话,同时用户永远不会收到有关该问题的警报。实际上,用户有必要专门检查是否有正在进行的附加会话。

  • Signal将会话劫持作为竞态条件处理,这意味着用户和攻击者应用程序都在争夺会话。因此,用户在桌面应用程序上收到错误消息(移动设备上没有显示警报),但攻击者已经可以访问所有未被删除的联系人和先前的聊天。

攻击者可以通过从用户桌面删除会话信息来避免竞态情况,这意味着他们会被提示重新链接。第二个会话只能从移动设备上看到,但与攻击者控制的会话名称相同。 因此,攻击者将能够查看所有消息,甚至冒充受害者。攻击者发送的消息将到达受害者的合法设备,但他可以在发送时删除它们,从而避免被检测到。如果使用“消失消息”功能进行模拟,受害者将更难识别模仿行为。

  • 在WhatsApp中,在桌面上打开第二个会话时,会在创建第二个会话时联机的应用程序中显示通知。系统会提示用户选择一个会话继续,攻击者可以访问所有联系人和之前的消息,直到用户做出决定。他们还可以在此期间冒充用户。 此外,攻击者甚至可以绕过警告机制并保持他们的会话。为此,他们需要停止受害者计算机上的应用程序,然后启动带有被劫持会话的WhatsApp,然后禁用其计算机上的网络接口,并且仅在受害者的WhatsApp应用程序重启后启用它。

  • Telegram的移动版本也容易被会话滥用,因为它允许“影子会话在同一设备上基于相同的电话号码共存,同时在不同的应用程序中处理它。”因此,攻击者可以阅读Telegram上的所有消息和联系人,直到会话终止(用户必须具体请求终止)。

  • 在Android系统中,授予“读取短信”和“杀死后台进程”权限的恶意应用程序可以在没有任何用户干预的情况下创建影子会话。通常,如果用户再次尝试注册同一个电话号码,Telegram会通过Telegram频道发送代码。但是,如果注册未在特定时间范围内完成,Telegram将通过SMS发送新代码,该代码由恶意应用程序读取。

尽管安全的即时消息应用程序在传输过程中保护信息记录的表现非常可靠,甚至可以保护自己服务器上的信息,但是它们在保护应用程序状态和用户信息方面做得仍然不够,将这种保护委托给操作系统,使得一些恶意分子容易趁虚而入。