安全研究人员透露,消息传递应用程序WhatsApp和Telegram有一个严重的安全漏洞,使黑客只能使用一张图像劫持用户帐户。
检查点安全研究人员刚刚透露了一个严重的脆弱性,使黑客劫持了数亿WhatsApp和Telegram帐户仅通过发送带有恶意软件的图像。该黑客针对电报和WhatsApp过程图像和多媒体文件的方法。
WhatsApp和Telegram都承认并解决了该缺陷,因此不能再利用它,但这就是发生的事情。
whatsapp和电报被恶意形象砍掉
安全研究人员设法创建了一个恶意图像,该图像在预览中似乎很正常,但实际上会将用户引导到恶意软件缠绕的HTML页面。用户加载了有关恶意页面后,该页面将获取所有本地存储的数据,而黑客可以完全抓住受害者的帐户。
缺陷暴露了使用两种服务的浏览器版本的人,意思是WhatsApp网络和Telegram Web,这两个网络都与其移动版本完全同步。
“如果利用这种漏洞,该漏洞将允许攻击者在任何浏览器上完全接管用户的帐户,并访问受害者的个人和团体对话,照片,视频和其他共享文件,联系人列表等等,”警告检查点研究人员罗马Zaikin,Eran Vaknin和Dikla Barda。 “这意味着攻击者可以潜在地下载您的照片和/或在线发布,代表您发送消息,要求赎金,甚至接管您的朋友的帐户。”
简而言之,攻击者只需发送图像即可完全接管用户的帐户。检查点的研究人员进一步强调,可以修改图像以看起来更具吸引力,从而增加用户打开它的机会。
由于攻击成功地授予黑客访问该应用程序的本地存储,如果成功的情况下,黑客可以将恶意图像发送到受害者的联系人列表中的所有联系人中,以造成更大的损害,并扩大攻击跨越WhatsApp和Telegram网络的影响力。
端到端加密缺点
WhatsApp和电报使用端到端加密为了确保用户的消息免受撬动的眼光,但是这里有一把双刃剑。而端到端加密可确保对话保持私人,这也意味着在针对恶意软件进行验证之前,通过平台发送消息。换句话说,WhatsApp和Telegram无法阻止发送此类恶意文件,因为它们无法访问其平台上交换的消息 - 只有用户才能访问。
Check Point还发布了视频,展示了两者的黑客WhatsApp和电报。
WhatsApp和电报现在很安全
检查点报告了WhatsApp和电报3月7日,两家公司此后都验证并确定了该问题。他们已经更新了系统以修补漏洞并增加了针对类似攻击的保护。
更具体地说,WhatsApp和Telegram将从现在开始加密之前验证内容,因此它们可以在传输范围内阻止恶意文件到达用户。这最小化了传播恶意软件的风险。
在明亮的一面,该缺陷仅影响了两个消息传递应用程序的基于浏览器的版本。如果问题也影响了移动应用程序,那么问题的程度肯定会更大。
