WhatsApp与Telegram存安全漏洞,黑客可全面接管帐户
发布日期:2015-01-01Check Point公司的研究人员们日前披露了WhatsApp与Telegram在线平台(即WhatsApp Web与Telegram Web)中存在的一项全新安全漏洞。通过利用这项漏洞,攻击者将可全面接管用户帐户,进而访问受害者的个人与群组对话、照片、视频、其它共享文件以及联系人列表等等。
安全漏洞影响
这项安全漏洞允许攻击者通过看似普通的图像向受害者发送隐藏于其中的恶意代码。一旦用户点击图片,攻击者即可全面访问受害者的WhatsApp或者Telegram存储数据,从而直接接管对方帐户。攻击者随后则可将该恶意文件发送至受害者的全部联系人处,最终实现更为广泛的攻击活动。
披露与修复
Check Point公司于2017年3月8日向WhatsApp与Telegram安全团队披露了这一信息。WhatsApp与Telegram双方承认这一安全问题确实存在,并为全球Web版本客户开发出修复方案。
Check Point公司产品安全漏洞研究负责人Oded Vanunu表示,“值得庆幸的是,WhatsApp与Telegram两家公司迅速采取行动,立足全部Web客户端对这进行了响应,以防止其被恶意人士所利用。”WhatsApp Web用户现在只需要重启其浏览器即可确保使用最新版本的安全客户端。
端到端加密
WhatsApp与Telegram利用端到端消息加密机制作为安全保护举措,旨在确保只有通信方能够阅读消息内容,而中间拦截者则无法加以窥探。然而,此次曝光的安全漏洞也正是源于同样的端到端加密方案。
由于消息会在发送者一侧进行加密,因此WhatsApp与Telegram本身无法掌握消息内容,意味着其无法防止发送恶意内容。在此项漏洞得到修复后,内容将在加密之前进行验证,从而提前阻止恶意文件的传播。
这两款应用的Web版本皆会显示由用户通过移动应用发送及接收的全部消息,且与用户设备保持完全同步。
相关资讯:
外媒报道,随着唐纳德·特朗普总统时代的即将到来以及其对Mike Pompeo CIA局长的任命,加密聊天软件下载量出现骤增。据加密通信软件Signal开发商披露,其软件...
所以,如果我们可以用这台锁屏的iPhone来向WhatsApp讨论组发送信息的话,我们就可以获取到用户的姓名了。首先,我们要确保这台iPhone手机会在锁屏界面显示...
不过随着前美国国安局承包商爱德华·斯诺登对于美国政府进行大规模监控活动的爆料,ProtonMail、Wire、WhatsApp以及Signal等具备通信内容加密能力的服务开始不...