软件应用程序并非完美无瑕,也适用于跨平台移动消息应用程序WhatsApp。一位安全研究人员发现了一种用表情符号炸弹撞击WhatsApp的方法。
WhatsApp是通过SMS进行运营商嘴文短信的低成本替代品,尤其是用于国际数字或小组中的许多人的消息传递。 WhatsApp是一个易于使用的应用程序,不仅允许用户共享短信,还可以共享图像和视频。
Facebook在2014年2月以190亿美元的价格收购了消息服务。在过去的几年中,WhatsApp的受欢迎程度一直在全球增长,2015年9月,该应用程序的活跃用户超过了2015年1月的7亿用户。
尽管该应用在全球的消息传递应用程序中非常受欢迎,但它仍然存在一些缺陷,研究人员发现了这些缺陷。
2014年12月,研究人员Indrajeet Bhuyan和Saurav Kar与WhatsApp一起展示了一个消息处理程序漏洞,该漏洞使用户通过发送2000个单词的特殊字符消息,称量为2KB,使用户可以远程崩溃另一个用户的WhatsApp。
WhatsApp将不断崩溃,直到删除了整个对话并开始新聊天的接收者。当时,该问题的风险超过5亿WhatsApp用户,但是该公司在通知问题后不久将其修复了。
尽管WhatsApp解决了这个问题,但Indrajeet Bhuyan在消息传递应用程序中发现了另一个漏洞。表情符号是没有文本的有趣方式,但表情符号也可以用来崩溃目标的Whatapp Messenger。
“今年,我在WhatsApp中发现了一个缺陷,可用于崩溃WhatsApp移动应用和Whastapp Web(这是同一版本的PC版本),”说布扬。 “在WhatsApp Web中,WhatsApp允许65500-6600个字符。但是,在键入约4200-4400的笑脸后,笑脸开始放慢速度。但是,由于限制尚未达到,因此WhatsApp允许插入插入。因此,当我们在接收到它时,我们在输入和移动时也会崩溃,并在收到移动设备时也会崩溃。”
Bhuyan声称他已经在PC以及Android Marshmallow,Android Lollipop和Android Kitkat上测试了Firefox和Chrome中的新漏洞或表情弹炸弹。他还测试了一些移动设备,例如Moto E(第一代),Asus Zenfone 2 Laser和OnePlus 2,Emoji炸弹在所有这些Android操作系统和设备上都可以使用。
Bhuyan还测试了iPhone中的漏洞,但iPhone并没有崩溃,而是冻结了该应用程序一段时间。
研究人员声称,新的漏洞可能会影响积极使用WhatsApp的10亿个Android用户。攻击者可以使用WhatsApp Emoji炸弹删除与特定WhatsApp用户对话的记录。
Bhuyan向WhatsApp报告了这个问题,希望该公司最早会发出补丁以解决该问题。但是,在解决问题之前,WhatsApp漏洞的受害者可能会失去与攻击者的聊天历史。
查看一个视频演示,展示了如何使用新错误远程崩溃WhatsApp。
