直到最近,駭客還有一種簡單而原始的方法來入侵電腦並控制它們:他們只需透過 Whatsapp Web(訊息傳遞服務的網路版本)發送惡意可執行文件,並鼓勵目標單擊它。
Check Point 安全研究人員確實發現了通訊協定中的一個巨大缺陷,該缺陷允許攻擊者在未經驗證或封鎖的情況下發送任何類型的檔案。您所要做的只是將其標記為 vCard 數位名片。「我們驚訝地發現 Whatsapp 沒有對 vCard 格式或文件內容進行任何驗證(…)聰明的攻擊者可以通過不同的方式利用這一點,並通過依賴圖標來加強騙局”,出版商在部落格中解釋。
另一種可能性:透過將惡意程式碼直接注入人員姓名欄位來傳送真實的 vCard 檔案。每個人都可以透過他們的地址簿應用程式來做到這一點。只需使用“&”字元將代碼與名稱分開,並指定“.bat”作為檔案副檔名。
Check Point 於 8 月 21 日通知 Whatsapp。幾天后,訊息服務於 8 月 27 日修復了補丁。這個缺陷會造成很多受害者嗎?很難知道。 Whatsapp 每月有 9 億活躍用戶,這是一個龐大的數字。但我們不知道 Whatsapp Web 用戶的數量,僅存在自去年一月以來。
來源 :
