导语:下次别人再给你发送照片时,你一定要小心了,不管是萌萌的宠物照,还是她的美照,都不要立马点开。
下次别人再给你发送照片时,你一定要小心了,不管是萌萌的宠物照,还是她的美照,都不要立马点开。因为一旦你点开了图片,黑客就可以利用这张图片入侵你的Whatsapp和Telegram账户。
近日,Checkpoint的安全研究员在Whatsapp和Telegram通信软件上发现了一枚漏洞。漏洞产生的原因是软件处理图片和多媒体文件过程中没有经过验证,恶意代码可以隐藏在图片或者多媒体文件中。所以,攻击者可以通过向受害者发送一张图片,进而控制用户账户。
据安全专家研究发现,只有浏览器版的Whatsapp和Telegram才受影响,移动版本不存在该漏洞。为了利用该漏洞展开攻击,攻击者需要在一张看似没有任何问题的图片中隐藏恶意代码,然后发送给受害者。一旦受害者打开了图片,那么攻击者即可访问受害者Whatsapp和Telegram账户数据,包括查看并操纵会话、访问受害者个人和群聊天记录、查看照片、视频、音频、通讯录以及其他文件。
如果攻击者向进一步扩大攻击范围,可以再次向受害者的通讯录发送恶意图片,一传十,十传百的感染下去。
演示视频
安全研究员为了证实这一漏洞的存在,给出了如下的演示视频:
Whatsapp版演示视频
Telegram版演示视频
为什么该漏洞就被忽略?
我们都知道Whatsapp和Telegram是端对端加密的通信软件,除了消息的发送者和接受者可以查看通信信息,没有人能够劫持他们的通信,所以我们想当然的以为它们已经足够安全。
通过Whatsapp和Telegram发送的信息,在发送端就已经加密,在接收端需要经过解密密钥才能查看。然而,我们都没有想到的是恶意代码可以跟随着信息的传递而传递(即使经过加密、解密的过程也不受影响)到接受者手中。
在收到漏洞报告之后,Whatsapp在24小时之内(3月8日)就将漏洞修复了,Telegram也在13日修复了漏洞。
Whatsapp和Telegram是在服务器端修复了漏洞,所以用户无需更新软件,但是需要重启浏览器。