krlaboratories, 4 months ago to Cybersecurity Ukrainian

ДЕЩО ПРО МЕРЕЖЕВІ З'ЄДНАННЯ WHATSAPP...

Приклад того як мобільний додаток WhatsApp Messenger лізе на нестандартні (5022) і незахищені (80) мережеві порти (в ідеалі має бути лише 443).

З'єднання відбуваються з інфраструктури Facebook і серверів Amazon.

З tcp 5022 впринципі зрозуміло - це XMPP, тобто Джаббер (завдяки якому WhatsApp такий швидкий в плані миттєвого обміну повідомленнями - https://isc.sans.edu/data/port/5222). А от 80-й, незахищений порт, навіщо? Про нього в довідці щось нічого не сказано: https://developers.facebook.com/docs/whatsapp/guides/network-requirements/

Цікаво, що деякі з цих IP-адрес мають шкідливі індикатори і б'ються по VirusTotal... Де гарантія того, що через них не пролізе бекдор...? Ми, звичайно, відфільтруємо подібні з'єднання фаєрволом і зашифруємось vpn'ом. А звичайний користувач? У нього усі "брами" відкриті по дефолту...

Виявляється, в інтернеті є мапа індикаторів, які були якось пов'язані з WhatsApp: https://www.virustotal.com/graph/embed/gc884e1c5d9b84730b3b00a90f2f4a73cc145436e48ae438794e2a7dd053993a1

Ось так, ведемо слідство над WhatsApp, щоб знати що поробляє жук Цук за спиною юзера... )

Далі буде.

#whatsapp #reverse #cybersecurity #messenger #messengers #audit #webappsec #appsec #network #networksecurity #networkintelligence #threatintel

image/png
image/png
image/jpeg