警告:WhatsApp、Telegram 存在安全漏洞,攻击者可以改变你所看到的内容

  • 请迅速更改设置以保护您的安全

您在 WhatsApp 和 Telegram 上看到的内容可能并不是您的联系人发送的内容,因为这两个应用程序存在一个漏洞。

尽管安全消息传递应用程序的端到端加密理论上可以保护人们免受政府的监视,但是,赛门铁克的研究人员披露了可能允许潜在的骇客改变图像和音频文件的漏洞。

虽然发件人可能发送了一张地图照片,但恶意软件可以利用 WhatsApp 和 Telegram 上的此漏洞替换照片并向收件人提供错误的指示。

在另一个示例中,恶意软件可以改变发票照片中显示的数字,欺骗受害者向错误的人支付金钱。

必需提醒这点,因为这两个消息应用程序都是活动家、记者和持不同政见者使用的重要工具,这些敏感人士很希望保持对话免受监视。

Signal,WhatsApp,Telegram 等消息应用程序具有端到端加密功能,这意味着即使是公司本身也无法看到对话。

虽然加密可以保护您的通信免受监控,但是,这并不意味着应用程序本身具有绝对强大的免疫力。

今年5月就披露了 WhatsApp 的一个惊人的漏洞,该漏洞允许骇客通过简单的电话呼叫在设备上安装间谍软件 —— 甚至受害人无需接听就能完成。

安全研究人员还在2017年披露了一项 telegram 漏洞,该漏洞允许骇客直接接管帐户。

赛门铁克的研究人员称,最新披露的新漏洞虽然不允许帐户被劫持,但是,作为欺诈是非常成熟的。

赛门铁克在一篇博客文章中表示,该漏洞源于媒体文件在 WhatsApp 和 Telegram 上的储存方式。

当文件储存在外部存储上时,其他应用程序就可以访问和操作它们。这不具备任何安全性。

在 WhatsApp 上,默认情况下文件存储在外部,而在 Telegram 上,如果启用了“Save to Gallery”,则会出现此漏洞。

赛门铁克的研究人员对其创建的恶意软件进行了测试,以篡改通过 WhatsApp 和 Telegram 发送的图像和音频文件。

在一个演示片段中,一个人发送了两个朋友的照片,收件人设备上的恶意软件自动将其替换成了演员 Nicolas Cage。

WhatsApp 在一份声明中说,“WhatsApp 已经密切关注这个问题,它与之前关于移动设备存储影响应用生态系统的问题类似;WhatsApp 遵循操作系统提供的媒体存储最新实践,并期待提供符合 Android 持续开发的更新”。

Telegram 没有回复评论请求。

⚠️如果您正在使用这些应用程序,请快速通过更改媒体存储设置来保护自己免受此风险。

在 WhatsApp 上,您可以通过转到设置并切换“媒体可见性”来执行此操作。在 Telegram 上,您可以通过切换“保存到图库”来保护自己。

但 WhatsApp 在一封电子邮件中表示,建议的更改可能会产生隐私问题并限制图像的共享方式。

许多应用程序都将图像存储在外部存储中,因此即使在卸载应用程序时,人们也可以保存图片,并且大多数 Android 设备都没有提供足够的内部存储空间。这是个问题。

一个冒名顶替的 Telegram

赛门铁克的研究人员还发现了一个与 Telegram 有关的单独问题,在 Google Play 商店中有一个虚假版本的 Telegram 应用程序。

这个名为 MobonoGram 的应用程序将自己升级为具有额外功能的 Telegram 的增强版。

如果“额外功能”意味着在背景中访问色情和诈骗等恶意网站,那倒的确是真的。

该欺诈性应用在从 Google Play 商店中被删除之前已经被下载了超过100,000次。谷歌证实它被删除并称它禁止了开发者。

研究人员也发现了另一个名为 Whatsgram 的冒名顶级应用程序,该应用程序来自同一个开发人员。

赛门铁克表示,从1月到5月,它已经阻止了1200多个与这些开发者相关的应用程序,大多数感染事件发生在美国、伊朗和印度。⚪️

WhatsApp, Telegram had security flaws that let hackers change what you see 

广告

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据