最近 WikiLeaks 出版物引起的最令人擔憂的洩密之一是政府組織可能會破壞 WhatsApp、Telegram 和其他端到端加密聊天應用程序。 雖然這還有待證實,但許多最終用戶擔心 WhatsApp 和 Telegram 端到端加密以保證用戶隱私。 這種加密旨在確保只有通信的人才能閱讀消息,而中間沒有其他人。
但是,同樣的機制也是我們在消息服務在線平台 WhatsApp Web 和 Telegram Web 中發現的新漏洞的起源。 這些平台的在線版本反映了用戶發送和接收的所有消息,並與用戶的設備完全同步。
如果利用此漏洞,攻擊者將可以完全接管用戶在任何瀏覽器上的帳戶,並訪問受害者的個人和群組對話、照片、視頻和其他共享文件、聯繫人列表等。 這意味著攻擊者可能會下載您的照片和/或將它們發佈到網上、代表您發送消息、索要贖金,甚至接管您朋友的帳戶。
因此,下次當有人在 WhatsApp 或 Telegram 上向您發送可愛的貓或辣妹的照片時,請在單擊圖像查看之前小心,它可能會在幾秒鐘內入侵您的帳戶。 一家計算機安全公司週三披露了一個漏洞,該漏洞可能讓黑客使用旨在保護消息的加密方式闖入 WhatsApp 或 Telegram 消息帳戶。
技術細節 – WhatsApp
WhatsApp 上傳文件機制支持多種文檔類型,例如 Office 文檔、PDF、音頻文件、視頻和圖像。 每種支持的類型都可以作為附件上傳並發送到 WhatsApp 客戶端。
然而,Check Point 研究團隊已設法繞過該機制的限制,通過上傳帶有合法圖像預覽的惡意 HTML 文檔來欺騙受害者點擊該文檔以接管其帳戶。 一旦受害者點擊文檔,WhatsApp Web 客戶端就會使用 FileReader HTML 5 API 調用生成一個唯一的 BLOB URL,其中包含攻擊者發送的文件內容,然後將用戶導航到該 URL。
技術細節 – 電報
Telegram 支持將多種文檔類型發送到 Telegram Web 應用程序,但只有圖像和視頻文檔類型存儲在瀏覽器的 Filesystem 部分。
Check Point 研究人員設法繞過 Telegram 的上傳策略,上傳了一個帶有 mime 類型的視頻文件“video/mp4”的惡意 HTML 文檔。 然後,他們能夠通過電報服務器在加密通道中將其發送到受害者方。 一旦受害者在新的瀏覽器選項卡中打開視頻,它就會開始播放,並且用戶的會話數據將發送給攻擊者。
有趣的是,正是這些應用程序的端到端加密功能可以幫助黑客利用該漏洞。 由於聊天內容是端到端加密的,這意味著 WhatsApp 和 Telegram 都無法看到隱藏在共享惡意圖像中的惡意軟件。 這意味著兩家公司都會對內容視而不見,從而允許惡意代碼在用戶之間來回傳遞。
Check Point 解釋說,今後,內容將在加密之前進行驗證,這將阻止惡意文件。 Check Point 團隊還概述了幾種方法,以確保您不會成為此類黑客的受害者。
Check Point 安全提示:
雖然 WhatsApp 和 Telegram 已修補此漏洞,但作為一般做法,我們建議採取以下預防措施:
1. 定期清理 WhatsApp 和 Telegram 中已登錄的計算機。 這將允許您控制託管您帳戶的設備並關閉不需要的活動。
2. 避免打開來自未知用戶的可疑文件和鏈接。
修復此漏洞後,WhatsApp 和 Telegram 網絡版本上的內容現在將在端到端加密生效之前進行驗證,從而阻止惡意文件。
