Архив метки: WhatsApp

Ещё один пример, почему слепо доверять публичным опенсурсным библиотекам может быть крайне опасно

Добавить комментарий

Ещё один пример, почему слепо доверять публичным опенсурсным библиотекам может быть крайне опасно

Ещё один пример, почему слепо доверять публичным опенсурсным библиотекам может быть крайне опасно. В мае 2025 года в npm-репозитории появился пакет "lotusbail", реализующий работу с API мессенджера WhatsApp (разрабатываемого экстремистской компанией Meta). Этот пакет выполнял все заявленные функции.👌 НО кроме того, содержал зловредную функциональность по перехвату сообщений, контактов, токенов аутентификации и привязке аккаунта жертвы к устройству атакующего. 🤷‍♂️

Зловредный пакет был доступен аж до 23 декабря. За это время его скачали около 60 000 раз. 😱

❓А теперь вопрос: учитывая, что использование готовых библиотек на каждый чих является сейчас best practice, института репутации разработчиков фактически нет (сплошные анонимы и ноунеймы), а вайб-кодинг становится все проще и эффективнее, что мешает таким кейсам становиться массовыми? Вполне вероятно, что вскоре зловредные форки библиотек будут плодиться одним запросом к LLM-ке. 🤔

Не могу не отметить как мастерски Роскомнадзор снижает аудиторию западных мессенджеров в России

Добавить комментарий

Не могу не отметить как мастерски Роскомнадзор снижает аудиторию западных мессенджеров в России

Не могу не отметить как мастерски Роскомнадзор снижает аудиторию западных мессенджеров в России. 👏 В первую очередь, конечно, у WhatsApp, принадлежащего экстремистской компании Meta. Доступ не блокируется одномоментно, чтобы не вызвать волну активного возмущения и распространение незаконной информации, снижающей эффективность фильтрации. 🤫 Вместо этого у западных сервисов постепенно деградирует функциональность. ⏳🤷‍♂️ Всё хуже работает голосовая связь, не приходят SMS, начались проблемы с фото и видео. Сервисы вроде работают, но с каждым днём становятся более "бесячими". 😏 Это мотивирует пользователей постепенно переходить на полнофункциональные альтернативы. В основном, конечно, в MAX. Очень жду, когда домовые, школьные и прочие чаты окончательно туда переедут. 🙏

Убеждён, что в РКН работают профессионалы, которые ведут Рунет в правильном направлении. Их нужно в этом поддерживать и посильно помогать. В том числе и по нашей части - в работе с перечнем уязвимостей. 😉

ТАСС опубликовали мой комментарий по поводу Security Feature Bypass - WhatsApp for iOS/Mac (CVE-2025-55177)

Добавить комментарий

ТАСС опубликовали мой комментарий по поводу Security Feature Bypass - WhatsApp for iOS/Mac (CVE-2025-55177)

ТАСС опубликовали мой комментарий по поводу Security Feature Bypass - WhatsApp for iOS/Mac (CVE-2025-55177). Это продолжение истории про Memory Corruption/RCE - ImageIO (CVE-2025-43300).

🧩 29 августа Meta (признана экстремистской организацией в России) предупредила часть пользователей WhatsApp о возможной компрометации их устройств. 🎯 0day уязвимость в WhatsApp для iOS и Mac (CVE-2025-55177) позволяла злодеям инициировать обработку контента из произвольного URL-а из-за "неполной авторизации сообщений синхронизации связанных устройств". Затем они эксплуатировали знакомую RCE при обработке DNG файлов (CVE-2025-43300).

Злоумышленники наверняка найдут и другие способы доставки зловрденых DNG-шек. 😉

И что же делать? Кроме перехода на MAX и Аврору. 😉

♻️ своевременно обновлять приложения и ОС

🛡 использовать iOS Lockdown Mode / Android Advanced Protection Mode

🔄 при подозрении на компрометацию сбрасывать устройство к заводским настройкам

Занимательно порефлексировать над очередным набросом Дурова на WhatsApp

Добавить комментарий

Занимательно порефлексировать над очередным набросом Дурова на WhatsApp. Он там делает далеко идущие выводы, что очередная исправленная RCE уязвимость в WhatsApp это на самом деле умышленно добавленный бэкдор. 🙂 И что эта уязвимость давала доступ ко всем файлам на телефоне пользователей. И поэтому ради безопасности своих данных не пользуйтесь WhatsApp-ом.

Нет, ну что такая атака с использованием WhatsApp в принципе возможна, мы ещё по кейсу с Pegasus от NSO Group помним. Но не настолько же все тривиально! То, что используется в десятках таргетированных атак вряд ли будет долго и массово использоваться против простых обывателей.

С тем же успехом можно сказать, что, например, уязвимость в виндовом клиенте Telegram это тоже был бэкдор. 🙂

С другой стороны, является ли смартфон с удаленным ватсапом или даже телеграммом безопасным устройством? Нет конечно! Он как был убогой пальцетыкалкой с нелепым обрубком вместо операционной системы так и остался. Обрубком, который был вкорячен на конкретную железку матюками и грязными хаками, так что поставить туда что-то альтернативное в общем случае не получится, только попользоваться пару лет и выкинуть. На каждый чих по приложению требующему максимум прав. Дичь ведь. И всё это намертво завязано на американский бигтех и им же полность контролируется. Использовать смартфон с Android или iOS для чего-то чем вы не готовы сейчас же поделиться со всем миром это очень плохая идея. Если вы так делаете, прекращайте.