Os smartphones são frequentemente substituídos pelos usuários quando versões mais recentes de smartphones com muito mais recursos são lançados.
A troca de smartphones tem uma complicação significativa na transferência de dados para o novo dispositivo.
Para superar esse problema, foram introduzidos aplicativos de clonagem para superar esse problema, que clonarão todo o dispositivo para o novo.
Isso inclui aplicativos, fotos, dados pessoais, contas de e-mail e até dados de sessão de aplicativos.
No entanto, os pesquisadores da CloudSEK descobriram que muitos aplicativos não invalidam ou revalidam a sessão após esta migração de dados para um novo dispositivo.
Os atores da ameaça estão cientes disso e usam essa falta de validação com ferramentas de migração altamente privilegiadas para copiar para seus dispositivos, o que pode resultar em falsificação de identidade.
Lista de Aplicações que não invalidam ou revalidam os cookies de sessão.
- Canva
- BookMyShow
- Snapchat
- KhataLivro
- Telegrama
- Zomato
- Negócio Whatsapp
- Strava
- Rodovia
- BlinkIT
- Pagamento futuro – BigBazaar agora propriedade da Reliance
- Adani Um
- Clash of Clans, Clash Royal (Supercell)
- Discórdia
- Booking.com
Conforme experimento de migração conduzido pela CloudSEK, o WhatsApp transferiu as chaves secretas para o novo dispositivo, o que fez com que o aplicativo não solicitasse 2FA.
“Os pesquisadores conduziram um experimento usando dois dispositivos Realme. Depois que os dados foram transferidos do dispositivo da vítima para o dispositivo do invasor, os dois aplicativos (Whatsapp e Whatsapp Business) ficaram acessíveis em ambos os dispositivos através da mesma conta.”
Mesmo que a vítima tenha ativado o WhatsApp 2FA, isso não foi solicitado no novo dispositivo (do invasor) e agora ambos os dispositivos podem enviar mensagens pela mesma conta. Porém, as respostas do usuário do outro lado só serão recebidas no dispositivo que enviou a última mensagem; você pode ver o vídeo PoC aqui.
Um agente de ameaça que obtenha acesso a esse tipo de vulnerabilidade pode se passar por uma pessoa e pelo WhatsApp e enviar mensagens em nome da vítima.
Assim que a migração for concluída, o WhatsApp receberá as mensagens no dispositivo para o qual a última mensagem foi enviada.
Nesses casos, as vítimas só poderão saber se fizerem login no WhatsApp Web e procurarem conversas.
Os atores da ameaça podem contornar isso facilmente se excluirem as mensagens.
Meta é dona do WhatsApp. No entanto, o mesmo Meta-propriedade Instagram não tinha essa vulnerabilidade, pois desconectou todas as contas ao migrar para um novo dispositivo.
Impacto desta vulnerabilidade
Como esses aplicativos não invalidam ou revalidam cookies de sessão, os agentes de ameaças podem manipular as vítimas para que instalem o malware Stealer Log, que registra as atividades dos usuários e as envia de volta aos seus servidores, que podem ser usados para obter acesso não autorizado às contas das vítimas.
Depois que o invasor rouba os cookies não validados pelos aplicativos, ele pode usar navegadores anônimos para usar cookies roubados, resultando na representação da localização da rede e do GPS.
Mitigação
- Verificando atividades incomuns em suas contas e dispositivos
- Manter o dispositivo bloqueado quando não estiver em uso
- Não deixe os dispositivos em locais públicos
- Habilite a autenticação de dois fatores para os aplicativos.
