Прaктичeски всe пoпулярныe мeссeнджeры для смaртфoнoв сoдeржaт уязвимoсти в кoдe, кoтoрыe мoгут быть испoльзoвaны злoумышлeнникaми, сooбщaeт «Кoммeрсaнт» со ссылкой на исследование Solar Security. При этом в мобильных чатах для iOS эксперты нашли больше ошибок, чем в их версиях для Android.
С помощью технологии автоматического бинарного анализа Solar Security проверила код девяти наиболее популярных мессенджеров: Telegram, WhatsApp, Viber, Facebook Messenger, Signal, Slack, Skype, WeChat и QQ International. В результате проверки было установлено, что критических уязвимостей не содержит только мессенджер Signal для Android. Однако в его коде все же присутствуют шесть ошибок среднего уровня и семь низкого. В коде Facebook Messenger и Slack есть по четыре критических ошибки, в остальных – еще больше.
К самым распространенным критическим уязвимостям мессенджеров на Android относятся слабые алгоритмы шифрования и хеширования, небезопасные реализации SSL, использование пустых паролей. Эти ошибки повышают риск перехвата логинов и паролей, хранящихся на устройстве.
iOS-версии мессенджеров оказались более уязвимы, чем клиенты для Android. Так, в Facebook Messenger для iOS специалисты компании Solar Security обнаружили 12 критических уязвимостей, в Viber — 15, в Skype — 17. Больше всего ошибок было обнаружено в китайских мессенджерах QQ International и WeChat.
Как утверждают специалисты Solar Security, то, что в iOS-версиях приложений содержится больше ошибок, скорее всего связано с тем фактом, что разработчики Android «более внимательно относятся к уровню защищенности», так как «сама Android считается менее безопасной».
В Viber сообщили, что компания никогда не находила в своем мессенджере критических уязвимостей. В компании утверждают, что качество приложений проверяют специалисты Viber и сторонние эксперты, кроме того, используются «средства автоматизации и аналитики для выявления ошибок и оперативного исправления сбоев в работе приложения». В Facebook также отметили, что новые продукты проходят проверку на безопасность с помощью «специальных команд».
]]>