消息传递应用程序WhatsApp和电报有严重的安全漏洞,允许黑客劫持用户的账户只有一个图片,安全研究人员透露。

检查安全研究人员披露一个严重的漏洞,允许黑客劫持数亿WhatsApp和电报账户只需发送一个恶意的形象。攻击目标的方法电报和WhatsApp处理图像和多媒体文件。

WhatsApp和电报都得到承认和解决缺陷不能被利用了,但这是发生了什么事。

WhatsApp,电报和恶意入侵的形象

安全研究人员设法创建一个恶意的图像看起来正常预览,但事实上直接用户malware-ridden HTML页面。一旦用户加载恶意页面,页面将抓住本地存储的所有数据,黑客可以抓住受害者的账户。

使用的缺陷暴露那些浏览器版本的两个服务,意义WhatsApp网络和电报网络,这两个是完全同步的移动版本。

“如果利用这个漏洞,允许攻击者完全接管用户的帐户在任何浏览器,访问受害者的个人和组的对话,照片,视频,和其他共享文件,联系列表,,”警告检查人员罗马Zaikin,伊兰Vaknin和Dikla Barda。“这意味着攻击者可能会下载你的照片和/或将它们贴在网上,代表你发送消息,要求赎金,甚至接管你的朋友的账户。”

简单地说,攻击者可以完全接管用户的账户只需发送一个图像。检查人员进一步突出,图像可以被修改以看起来更有吸引力,从而增加用户的可能性打开它。

由于黑客攻击授予访问应用程序的本地存储如果成功,黑客可以继续发送恶意图像中的所有联系人的联系人列表造成更多的伤害和扩大的跨WhatsApp和电报的网络攻击。

端到端加密的缺点

WhatsApp和电报都使用端到端加密确保用户的信息是安全的从窥视,但是这里是一把双刃剑。在端到端加密保证谈话保持私人,这也意味着消息被发送通过平台之前对恶意软件进行验证。换句话说,WhatsApp,电报无法阻止这些恶意文件发送,因为他们没有获得消息交换的平台,只有用户访问。

检查也视频演示的黑客WhatsApp和电报。

现在WhatsApp,电报是安全的

检查报告WhatsApp和安全缺陷电报3月7日,两家公司都因为验证和确认这个问题。他们更新系统补丁的漏洞并添加防止类似的攻击。

更具体地说,WhatsApp,电报将验证内容加密从现在开始之前,所以他们可以阻止恶意文件在运输这些用户。这种最小化的风险传播恶意软件。

光明的一面,缺陷只影响到基于浏览器的版本的两个消息传递应用程序。问题的严重程度肯定会被更大的如果它影响了移动应用程序。