3月16日讯 Check Point公司的研究人员们日前披露了WhatsApp与Telegram在线平台(即WhatsApp Web与Telegram Web)中存在的一项全新安全漏洞。通过利用这项漏洞,攻击者将可全面接管用户帐户,进而访问受害者的个人与群组对话、照片、视频、其它共享文件以及联系人列表等等。
WhatsApp与Telegram中存在安全漏洞,允许黑客全面接管帐户-E安全
安全漏洞影响
这项安全漏洞允许攻击者通过看似普通的图像向受害者发送隐藏于其中的恶意代码。一旦用户点击图片,攻击者即可全面访问受害者的WhatsApp或者Telegram存储数据,从而直接接管对方帐户。
WhatsApp与Telegram中存在安全漏洞,允许黑客全面接管帐户 - E安全
攻击者随后则可将该恶意文件发送至受害者的全部联系人处,最终实现更为广泛的攻击活动。
披露与修复
Check Point公司于2017年3月8日向WhatsApp与Telegram安全团队披露了这一信息。WhatsApp与Telegram双方承认这一安全问题确实存在,并为全球Web版本客户开发出修复方案。
Check Point公司产品安全漏洞研究负责人Oded Vanunu表示,“值得庆幸的是,WhatsApp与Telegram两家公司迅速采取行动,立足全部Web客户端对这项疸进行了响应,以防止其被恶意人士所利用。”WhatsApp Web用户现在只需要重启其浏览器即可确保使用最新版本的安全客户端。
端到端加密
WhatsApp与Telegram利用端到端消息加密机制作为安全保护举措,旨在确保只有通信方能够阅读消息内容,而中间拦截者则无法加以窥探。然而,此次曝光的安全漏洞也正是源于同样的端到端加密方案。
WhatsApp与Telegram中存在安全漏洞,允许黑客全面接管帐户-E安全
由于消息会在发送者一侧进行加密,因此WhatsApp与Telegram本身无法掌握消息内容,意味着其无法防止发送恶意内容。在此项漏洞得到修复后,内容将在加密之前进行验证,从而提前阻止恶意文件的传播。
这两款应用的Web版本皆会显示由用户通过移动应用发送及接收的全部消息,且与用户设备保持完全同步。
本文转自d1net(转载)
