кейс

Все пишут, что саудовский принц хакнул смартфон Джеффа Безоса. Это правда? Разбор

Как принц Саудовской Аравии, так и Джефф Безос могли стать жертвами более обширной операции злоумышленников, которые использовали уязвимость WhatsApp

Стас Юрасов

главный редактор dev.ua

Антон Кобылянский

корреспондент ЛІГА.Tech

23 января 2020, 09:39

Джефф Безос с Мухаммедом бен Салманом во время его визита в США в марте 2018 года. Фото: Saudi Press Agency

Одно сообщение на мобильный телефон с прицепленным к нему вредоносным файлом может стать поводом для международного скандала.

И даже такой человек, как основатель tech-гиганта Amazon Джефф Безос может пострадать от простой хакерской атаки, будто какой-то неумелый школьник, которому родители подарили на Новый год первый смартфон Apple.

В этой истории пока нет однозначных ответов. Есть только гипотезы и версии. Но она уже вызвала напряженность на международном уровне. Эксперты ООН потребовали немедленного расследования со стороны США инцидента, который произошел еще 1 мая 2018 года. О нем стало известно лишь сегодня от анонимных источников британских СМИ.

Что произошло

В тот злополучный весенний день Джеффу Безосу с номера принца Саудовской Аравии Мухаммеда бин Салмана пришло сообщение с видеофайлом. Перед этим Безос и бин Салман "дружески общались в мессенджере".

После отправки файла с телефона Безоса в течение нескольких часов злоумышленники скачали большой объем данных. Что именно похитили с телефона и как использовали - пока не установлены.

Отключить рекламу

Разумеется, через СМИ поползли предположения о том, что "королевство стоит за взломом телефона мистера Джеффа Безоса". И разумеется, посольство Саудовской Аравии в США уже назвало все домыслы "абсурдом".

Но как на самом деле происходила атака? И кто ее организовал?

Журналисты Liga.Tech попросили несколько киберэкспертов поделиться несколькими версиями произошедшего. И вот что у нас получилось.

WhatsApp - находка для шпиона

Опрошенные эксперты в один голос говорят, что атака могла произойти из-за наличия уязвимости в самом мессенджере.

“В WhatsApp были уязвимости типа "удаленное исполнение кода" (RCE): открываешь сообщение - и привет” - отмечает член сообщества украинских хакеров Sean Brian Townsend.

Отключить рекламу

“Это - "дырка" в WhatsApp”, - говорит в унисон Александр Кардаков, основатель компании Октава Киберзахист.

Способ эксплуатации этой дырки злоумышленником - отсылка на устройство жертвы с уязвимым WhatsApp видеофайла формата *.MP4 со специально переделанными метаданными.

По словам, Кардакова, результат такой атаки - переполнение буфера в уязвимом WhatsApp. В таком случае приложение переводится в нештатный режим функционирования. Это приводит к получению доступа злоумышленником к операционной системе с повышенными привилегиями.

Причем, как добавляет Алексей Швачка, технический директор компании Октава Киберзахист, процесс не требует аутентификации и выполняется при загрузке вредоносного файла в систему смартфона. То есть человеку ничего не нужно подтверждать.

Отключить рекламу

Швачка обращает внимание на то, что уже после инцидента, в ноябре 2019 года Facebook официально опубликовал сведения об обнаруженной в WhatsApp уязвимости, связанной с переполненным буфером.

Это не единственный случай обнаружения серьезной уязвимости в Whatsapp. R&D-директор компании "ИТ-Интегратор" Владимир Кург напоминает также о волне атак через видеозвонки в WhatsApp, которая прокатилась по миру весной 2019 года. Пользователям даже не требовалось отвечать на входящие звонки, чтобы стать жертвой атаки.

По цепочке: принц и глава Amazon стали случайными жертвами

Украинский эксперт по кибербезопасности Александр Галущенко предполагает, что принц мог быть просто средством передачи зараженного файла. “И я сомневаюсь насчёт цели: похоже, он случайно попал в этот замес”, - добавляет он.

Как предполагает эксперт, репостов видео с вредоносной программой могло быть сколько угодно. Кто, кому и когда их делал, до тех пор пока видео дошло до принца, - неизвестно. “Например, если сегодня привязать такую штуку к видео с Ильей Кивой (нардеп, якобы это он устроил драку в ресторане - Ред.), то количество зараженных устройств будет исчисляться тысячами”, - подчеркивает он.

Похожую гипотезу выдает Townsend: “Скорее всего, кто-то пользовался уязвимостью по цепочке. Взломали одного, посмотрели контакты и начали ломать интересных людей из контактов. Если был взломан телефон Безоса, то точно так же был взломан телефон принца”.

Стоимость подобной операции (проэксплуатировать уязвимость мессенджера в своих целях) Галущенко оценивает в районе $1,1 млн. То есть теоретически, если группа злоумышленников задумала бы ее провернуть, то ей пришлось бы заплатить столько денег.

CEO HackControl Никита Кныш считает, что подобные взломы стоят от 500 000 долларов.