狡猾的照片潜入WhatsApp网站

一个狡猾的图像可以让攻击者阅读你的WhatsApp消息 - 但只能通过基于浏览器的消息应用程序版本。安全公司Check Point发现了Facebook拥有的WhatsApp和Telegram的缺陷，尽管它只影响这些工具的基于网络的版本，而不是移动应用程序本身。它是通过发送恶意文件(例如照片)触发的。

“这个漏洞如果被利用，将允许攻击者在任何浏览器上完全接管用户的帐户，并访问受害者的个人和群组对话，照片，视频和其他共享文件，联系人列表等，”Check Point的研究人员指出在博客文章中。“这意味着攻击者可能会下载您的照片或在线发布，代表您发送消息，索取赎金，甚至接管您朋友的帐户。”

为了利用这个漏洞，攻击者会向目标发送一个看似无辜但包含恶意代码的文件，这样就可以让黑客获取数据。它利用了WhatsApp的加密功能，可以在不首先验证图像的情况下保护图像不被查看。这意味着恶意文件可以偷偷摸摸。

“由于消息是在未经过首次验证的情况下加密的，因此WhatsApp和Telegram对内容视而不见，因此无法阻止恶意内容被发送，”Check Point的研究人员指出。

该漏洞已于3月7日向WhatsApp和Telegram报告，并已推出补丁。使用任一消息传递应用程序的Web版本的任何人都应确保他们重新启动浏览器以确保他们使用的是最新版本。

肯特网络安全中心主任Eerke Boiten对此表示同意，并表示值得强调的是，这不是加密问题，而是恶意文件。他们说：“他们无法被发现是因为他们被加密了 - 但发现恶意文件是一个不准确的科学开始;当然加密确实使其变得更难”。“WhatsApp表示，他们将通过在加密和发送之前对恶意内容的文件进行筛选来解决这个问题;这看似合理但不完美。”

然而，隐藏在Check Point的研究人员中的恶意文件的事实确实是一个安全设计错误，他说。“文件预览可能就是这样，但看起来他们已经使用了一般的网络浏览器功能，因此允许来自恶意文件内的代码实际攻击Whatsapp用户的帐户，”他补充道。

Boiten表示，它类似于之前对WhatsApp漏洞的报道，特别是维基解密泄露的一系列CIA文件中的应用程序。“维基解密泄漏CIA工具之前完全没有提及WhatsApp：当然，如果你可以控制加密发生的设备，加密本身就变得毫无意义，因为你可以在加密之前抓取数据，”他说。 。“这不是加密通信的缺陷甚至是'规避'。”

他指出，这并不意味着消息服务非常安全。“尽管故事以错误的理由攻击WhatsApp，但当然对WhatsApp的一些谨慎仍然是明智的，”他说。“他们可能正在加密通信内容，但是谁(以及何时何地)仍然可以看到谁的消息的元数据。这些元数据可能比内容更有用，因为它们的所有者Facebook和其他监视装备。“