В «безопасном мессенджере» групповые чаты и звонки открыты всем. Разработчики дважды проигнорировали предупреждения российских кибербезопасников
В мессенджере Zangi обнаружили критическую уязвимость, дающую возможность получить доступ к перепискам пользователей. Пользователям настоятельно рекомендуют сменить мессенджер.
«Убийца» Telegram под угрозой
В популярном мессенджере Zangi нашли серьезную уязвимость из-за которой мессенджером пользоваться опасно для личных данных пользователей. Об этом CNews сообщили представители отечественной компании-разработчика решений информационной безопасности UserGate.
Zangi — армянский разработчик одноименного мессенджера, который, по утверждению компании, обеспечивает голосовую и видеосвязь с минимальными затратами трафика в мире. Мессенджер позиционирует себя как безопасная альтернатива Telegram, и по данным Google Play, приложение имеет более 10 млн загрузок.
В ходе исследования эксперты UserGate обнаружили критическую уязвимость, которая дает злоумышленникам возможность расшифровать сообщения в групповых чатах, а также групповые и личные звонки. Это означает, что злоумышленники могут получить доступ к содержимому переписки.
Данная проблема касается как групповых чатов, так и голосовых звонков, что ставит под угрозу конфиденциальность пользователей.
Пока уязвимость не устранена, пользователям рекомендуют сменить мессенджер.
Подробности уязвимости
Лица, имеющие доступ к трафику между приложением и его серверами, могут получить доступ к переписке и телефонных звонков, что создает угрозу для личной и корпоративной безопасности.
На вопрос о том, как злоумышленники могут воспользоваться этой уязвимостью, главный специалист по информационной безопасности и руководителя центра мониторинга и реагирования UserGate Дмитрий Кузеванов ответил, что у них есть возможность получить доступ к содержимому переписки и звонков, что угрожает личным данным пользователей и ставит под угрозу безопасность всей информационной системы мессенджера.
«Мы даважды обращались к разработчику, отправляли результаты исследования, но, к сожалению, ответа не получили», — подчеркнул Кузеванов. На данный момент эксперты UserGate внесли данные об уязвимости в базу данных БДУ ФСТЭК и настоятельно рекомендуют воздержаться от использования мессенджера до устранения проблемы, которая может быть уязвимостью для личных и служебных данных.
Подробную работу уязвимости в компании не раскрыли, чтобы не подвергать пользователей дополнительному риску со стороны тех, кто может использовать технические детали для ее эксплуатации. UserGate будет ждать ответа в течение 90 дней, прежде чем расскажет подробности.
«При отсутствии ответа или после устранения уязвимости мы сможем предоставить технические детали и опубликовать наш отчет», — заключил Кузеванов. Однако, до тех пор пользователи Zangi должны быть особенно внимательными и рассмотреть альтернативные варианты общения, чтобы избежать потенциальной утечки личной информации.
Что касается рекомендаций для пользователей, которые все еще используют Zangi, Кузеванов был однозначен: «Единственная рекомендация — сменить мессенджер до устранения уязвимости».