狡猾的照片潛入WhatsApp網站

一個狡猾的圖像可以讓攻擊者閱讀你的WhatsApp消息 - 但只能通過基于瀏覽器的消息應用程序版本。安全公司Check Point發現了Facebook擁有的WhatsApp和Telegram的缺陷，盡管它只影響這些工具的基于網絡的版本，而不是移動應用程序本身。它是通過發送惡意文件(例如照片)觸發的。

“這個漏洞如果被利用，將允許攻擊者在任何瀏覽器上完全接管用戶的帳戶，并訪問受害者的個人和群組對話，照片，視頻和其他共享文件，聯系人列表等，”Check Point的研究人員指出在博客文章中。“這意味著攻擊者可能會下載您的照片或在線發布，代表您發送消息，索取贖金，甚至接管您朋友的帳戶。”

為了利用這個漏洞，攻擊者會向目標發送一個看似無辜但包含惡意代碼的文件，這樣就可以讓黑客獲取數據。它利用了WhatsApp的加密功能，可以在不首先驗證圖像的情況下保護圖像不被查看。這意味著惡意文件可以偷偷摸摸。

“由于消息是在未經過首次驗證的情況下加密的，因此WhatsApp和Telegram對內容視而不見，因此無法阻止惡意內容被發送，”Check Point的研究人員指出。

該漏洞已于3月7日向WhatsApp和Telegram報告，并已推出補丁。使用任一消息傳遞應用程序的Web版本的任何人都應確保他們重新啟動瀏覽器以確保他們使用的是最新版本。

肯特網絡安全中心主任Eerke Boiten對此表示同意，并表示值得強調的是，這不是加密問題，而是惡意文件。他們說：“他們無法被發現是因為他們被加密了 - 但發現惡意文件是一個不準確的科學開始;當然加密確實使其變得更難”。“WhatsApp表示，他們將通過在加密和發送之前對惡意內容的文件進行篩選來解決這個問題;這看似合理但不完美。”

然而，隱藏在Check Point的研究人員中的惡意文件的事實確實是一個安全設計錯誤，他說。“文件預覽可能就是這樣，但看起來他們已經使用了一般的網絡瀏覽器功能，因此允許來自惡意文件內的代碼實際攻擊Whatsapp用戶的帳戶，”他補充道。

Boiten表示，它類似于之前對WhatsApp漏洞的報道，特別是維基解密泄露的一系列CIA文件中的應用程序。“維基解密泄漏CIA工具之前完全沒有提及WhatsApp：當然，如果你可以控制加密發生的設備，加密本身就變得毫無意義，因為你可以在加密之前抓取數據，”他說。 。“這不是加密通信的缺陷甚至是'規避'。”

他指出，這并不意味著消息服務非常安全。“盡管故事以錯誤的理由攻擊WhatsApp，但當然對WhatsApp的一些謹慎仍然是明智的，”他說。“他們可能正在加密通信內容，但是誰(以及何時何地)仍然可以看到誰的消息的元數據。這些元數據可能比內容更有用，因為它們的所有者Facebook和其他監視裝備。“