安全研究人員透露,消息傳遞應用程序WhatsApp和Telegram有一個嚴重的安全漏洞,使黑客只能使用一張圖像劫持用戶帳戶。
檢查點安全研究人員剛剛透露了一個嚴重的脆弱性,使黑客劫持了數億WhatsApp和Telegram帳戶僅通過發送帶有惡意軟件的圖像。該黑客針對電報和WhatsApp過程圖像和多媒體文件的方法。
WhatsApp和Telegram都承認並解決了該缺陷,因此不能再利用它,但這就是發生的事情。
whatsapp和電報被惡意形象砍掉
安全研究人員設法創建了一個惡意圖像,該圖像在預覽中似乎很正常,但實際上會將用戶引導到惡意軟件纏繞的HTML頁面。用戶加載了有關惡意頁面後,該頁面將獲取所有本地存儲的數據,而黑客可以完全抓住受害者的帳戶。
缺陷暴露了使用兩種服務的瀏覽器版本的人,意思是WhatsApp網絡和Telegram Web,這兩個網絡都與其移動版本完全同步。
“如果利用這種漏洞,該漏洞將允許攻擊者在任何瀏覽器上完全接管用戶的帳戶,並訪問受害者的個人和團體對話,照片,視頻和其他共享文件,聯繫人列表等等,”警告檢查點研究人員羅馬Zaikin,Eran Vaknin和Dikla Barda。 “這意味著攻擊者可以潛在地下載您的照片和/或在線發布,代表您發送消息,要求贖金,甚至接管您的朋友的帳戶。”
簡而言之,攻擊者只需發送圖像即可完全接管用戶的帳戶。檢查點的研究人員進一步強調,可以修改圖像以看起來更具吸引力,從而增加用戶打開它的機會。
由於攻擊成功地授予黑客訪問該應用程序的本地存儲,如果成功的情況下,黑客可以將惡意圖像發送到受害者的聯繫人列表中的所有聯繫人中,以造成更大的損害,並擴大攻擊跨越WhatsApp和Telegram網絡的影響力。
端到端加密缺點
WhatsApp和電報使用端到端加密為了確保用戶的消息免受撬動的眼光,但是這裡有一把雙刃劍。而端到端加密可確保對話保持私人,這也意味著在針對惡意軟件進行驗證之前,通過平台發送消息。換句話說,WhatsApp和Telegram無法阻止發送此類惡意文件,因為它們無法訪問其平台上交換的消息 - 只有用戶才能訪問。
Check Point還發布了視頻,展示了兩者的黑客WhatsApp和電報。
WhatsApp和電報現在很安全
檢查點報告了WhatsApp和電報3月7日,兩家公司此後都驗證並確定了該問題。他們已經更新了系統以修補漏洞並增加了針對類似攻擊的保護。
更具體地說,WhatsApp和Telegram將從現在開始加密之前驗證內容,因此它們可以在傳輸範圍內阻止惡意文件到達用戶。這最小化了傳播惡意軟件的風險。
在明亮的一面,該缺陷僅影響了兩個消息傳遞應用程序的基於瀏覽器的版本。如果問題也影響了移動應用程序,那麼問題的程度肯定會更大。
