如何用一张图片入侵Whatsapp和Telegram账户? - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

如何用一张图片入侵Whatsapp和Telegram账户?

張奕源Nick 新闻 2017年3月16日发布

导语:下次别人再给你发送照片时,你一定要小心了,不管是萌萌的宠物照,还是她的美照,都不要立马点开。

1489634982526539.png

下次别人再给你发送照片时,你一定要小心了,不管是萌萌的宠物照,还是她的美照,都不要立马点开。因为一旦你点开了图片,黑客就可以利用这张图片入侵你的Whatsapp和Telegram账户。

近日,Checkpoint的安全研究员在Whatsapp和Telegram通信软件上发现了一枚漏洞。漏洞产生的原因是软件处理图片和多媒体文件过程中没有经过验证,恶意代码可以隐藏在图片或者多媒体文件中。所以,攻击者可以通过向受害者发送一张图片,进而控制用户账户。

据安全专家研究发现,只有浏览器版的Whatsapp和Telegram才受影响,移动版本不存在该漏洞。为了利用该漏洞展开攻击,攻击者需要在一张看似没有任何问题的图片中隐藏恶意代码,然后发送给受害者。一旦受害者打开了图片,那么攻击者即可访问受害者Whatsapp和Telegram账户数据,包括查看并操纵会话、访问受害者个人和群聊天记录、查看照片、视频、音频、通讯录以及其他文件。

如果攻击者向进一步扩大攻击范围,可以再次向受害者的通讯录发送恶意图片,一传十,十传百的感染下去。

演示视频

安全研究员为了证实这一漏洞的存在,给出了如下的演示视频:

Whatsapp版演示视频

Telegram版演示视频

为什么该漏洞就被忽略?

我们都知道Whatsapp和Telegram是端对端加密的通信软件,除了消息的发送者和接受者可以查看通信信息,没有人能够劫持他们的通信,所以我们想当然的以为它们已经足够安全。

通过Whatsapp和Telegram发送的信息,在发送端就已经加密,在接收端需要经过解密密钥才能查看。然而,我们都没有想到的是恶意代码可以跟随着信息的传递而传递(即使经过加密、解密的过程也不受影响)到接受者手中。

在收到漏洞报告之后,Whatsapp在24小时之内(3月8日)就将漏洞修复了,Telegram也在13日修复了漏洞。

Whatsapp和Telegram是在服务器端修复了漏洞,所以用户无需更新软件,但是需要重启浏览器。

本文参考来源于 thn,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/news/3875.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

    lapua 2017-03-16 15:38

    能够有这么快的响应速度确实不易