如何用一张图片入侵Whatsapp和Telegram账户?

简介: 本文讲的是如何用一张图片入侵Whatsapp和Telegram账户?,下次别人再给你发送照片时,你一定要小心了,不管是萌萌的宠物照,还是她的美照,都不要立马点开。因为一旦你点开了图片,黑客就可以利用这张图片入侵你的Whatsapp和Telegram账户。
本文讲的是 如何用一张图片入侵Whatsapp和Telegram账户?

如何用一张图片入侵Whatsapp和Telegram账户?

下次别人再给你发送照片时,你一定要小心了,不管是萌萌的宠物照,还是她的美照,都不要立马点开。因为一旦你点开了图片,黑客就可以利用这张图片入侵你的Whatsapp和Telegram账户。

近日,Checkpoint的安全研究员在Whatsapp和Telegram通信软件上发现了一枚漏洞。漏洞产生的原因是软件处理图片和多媒体文件过程中没有经过验证,恶意代码可以隐藏在图片或者多媒体文件中。所以,攻击者可以通过向受害者发送一张图片,进而控制用户账户。

据安全专家研究发现,只有浏览器版的Whatsapp和Telegram才受影响,移动版本不存在该漏洞。为了利用该漏洞展开攻击,攻击者需要在一张看似没有任何问题的图片中隐藏恶意代码,然后发送给受害者。一旦受害者打开了图片,那么攻击者即可访问受害者Whatsapp和Telegram账户数据,包括查看并操纵会话、访问受害者个人和群聊天记录、查看照片、视频、音频、通讯录以及其他文件。

如果攻击者向进一步扩大攻击范围,可以再次向受害者的通讯录发送恶意图片,一传十,十传百的感染下去。

演示视频

安全研究员为了证实这一漏洞的存在,给出了如下的演示视频:

Whatsapp版演示视频

Telegram版演示视频

为什么该漏洞就被忽略?

我们都知道Whatsapp和Telegram是端对端加密的通信软件,除了消息的发送者和接受者可以查看通信信息,没有人能够劫持他们的通信,所以我们想当然的以为它们已经足够安全。

通过Whatsapp和Telegram发送的信息,在发送端就已经加密,在接收端需要经过解密密钥才能查看。然而,我们都没有想到的是恶意代码可以跟随着信息的传递而传递(即使经过加密、解密的过程也不受影响)到接受者手中。

在收到漏洞报告之后,Whatsapp在24小时之内(3月8日)就将漏洞修复了,Telegram也在13日修复了漏洞。

Whatsapp和Telegram是在服务器端修复了漏洞,所以用户无需更新软件,但是需要重启浏览器。




原文发布时间为:2017年3月16日
本文作者:張奕源Nick
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
人工智能 供应链 安全
支付宝安全实验室发现3款恶意库,提醒开发者擦亮眼
这三款Python三方库有病毒,请勿安装使用!
1568 0
支付宝安全实验室发现3款恶意库,提醒开发者擦亮眼
|
安全
阿里安全实验室发现“微信克隆漏洞”:可操控微信钱包窃取隐私信息,腾讯推文致谢
只需发一条消息就可以完整克隆受害者的微信账号,并实现微信钱包支付和窃取隐私信息的操控。近日,阿里安全猎户座实验室和潘多拉实验室发现微信存在一款有严重风险的漏洞,并第一时间将漏洞信息上报给了国家相关部门和同步给了腾讯公司。
3825 0
|
机器学习/深度学习 安全 网络安全
|
JavaScript API 数据库
小心!使用网页版的WhatsApp时,请选择隐私模式
本文讲的是小心!使用网页版的WhatsApp时,请选择隐私模式,2015年,WhatsApp推出网页版,这让许多用户感觉一下方便了许多,因为使用键盘打字比触摸屏要快得多,而且复制粘贴、添加附件也更容易。不过在用户体验提升的同时,也带来了一些安全问题,最明显的就是隐私泄露。
2811 0
|
安全 Android开发 iOS开发
App Store里的色情应用生态:伪装、诱导付费、窃取你的隐私信息
本文讲的是App Store里的色情应用生态:伪装、诱导付费、窃取你的隐私信息,知道网络上快速致富的手段是什么吗?当然是和色情有关了,不管是出于合法目的还是非法诱导目的,色情内容都能快速吸引人们的注意力。
23495 0
|
安全 Java
火眼产品又曝漏洞 一封邮件即可访问整个网络
本文讲的是火眼产品又曝漏洞 一封邮件即可访问整个网络,该漏洞能让黑客访问整个网络,火眼公司已发布修复补丁。
1960 0