国外最流行的移动通信APP（也就是美国的微信）WhatsApp最近开发出了网页版。可惜没上线多久，一位17岁的印度少年就发现了它2个安全漏洞。

又是你……奔跑吧少年

Indrajeet Bhuyan今年17岁，是一名来自印度的安全研究人员。近日他发现了两个WhatsApp Web版的漏洞：一个是照片越权查看漏洞，另外一个是照片同步漏洞。

‍等等，Bhuyan这个名字是不是很熟悉？没错，Bhuyan同样也是之前FreeBuf报道过的“一条消息就让WhatsApp崩溃”的漏洞发现者，真是英雄出少年啊。‍

照片越权查看漏洞

正常情况下，如果我们设置了“仅联系人可见”的话，那其他非联系人列表里的人是无法查看我们的资料图片的。但是新版本的WhatsApp Web却不一样，无论你设不设置“仅联系人可见”，其他的联系人（包括联系人列表之外的用户）都能看到你WhatsApp上的图片。

具体的漏洞利用，可见下面视频中的演示：

照片同步漏洞

另一安全漏洞出现在WhatsApp Web照片同步功能。Bhuyan发现当用户在WhatsApp手机客户端上删除照片后，照片还能够通过PC（Web）版获得。

这就说明网页版和移动手机版的应用程序存在同步不当问题。

具体详见视频中的演示:

出现这些问题情有可原，毕竟网页版应用程序刚开发出来没几天，存在一些安全问题是在所难免的。

官方回应

WhatsApp公司已经承诺修复这些安全问题，并保证用户的通信安全。安卓版本的用户应该不会出现隐私泄露的问题，因为WhatsApp启用了在线隐私保护模式，默认对文本消息进行端对端（end-to-end）的加密。

[参考来源thehackernews，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）]