导读 用户希望WhatsApp和Telegram内部的消息能够进行端到端加密,但之前的漏洞使黑客能够在消息传递之前对其进行操作。WhatsApp和Telegram现在发
用户希望WhatsApp和Telegram内部的消息能够进行端到端加密,但之前的漏洞使黑客能够在消息传递之前对其进行操作。WhatsApp和Telegram现在发现了另一个漏洞,该漏洞显示可能允许攻击者改变两个平台共享的媒体文件的漏洞。
赛门铁克的研究人员现已解释了攻击者如何使用恶意代码修改用户之间共享的媒体文件,并在收件人打开之前替换受感染的文件。这个漏洞在Android上的Telegram和WhatsApp应用程序中都被称为“Media File Jacking”。这是可能的,因为Android应用程序有两个选项来存储他们的数据 - 内部和外部。
虽然存储在内部存储器中的数据只能由应用程序本身访问,但与外部卡中存储的数据不同。该报告称,当WhatsApp或Telegram在外部存储数据时,攻击者有机会用恶意媒体文件替换原始媒体文件。
赛门铁克官员解释说“将其视为攻击者与加载文件的应用程序之间的竞争。如果攻击者首先访问文件 - 如果恶意软件监视公共目录以进行更改,这几乎可以实时发生 - 收件人将在看到原始文件之前看到被操纵的文件“。
更有趣的是,图像的缩略图预览或共享的文件现在也将显示文件的更改版本。这意味着收件人将不知道文件首先被修改,从而使黑客获得更多可信度。
该报告还要求攻击可以从发件人或收件人的手机启动,即使他们确定手机上没有任何恶意应用程序。它说,除了改变图像,黑客还可以用来欺骗音频消息和操纵支付模式。
虽然Telegram尚未就此问题发表过言论,但WhatsApp发表声明称:“WhatsApp已经密切关注这个问题,而且与先前关于移动设备存储影响应用生态系统的问题相似。WhatsApp遵循操作系统为媒体存储提供的当前最佳实践,并期待提供符合Android正在进行的开发的更新“。
在WhatsApp推出针对该问题的修复程序之前,您可以通过转到WhatsApp>设置>聊天并关闭“媒体可见性”来保护您的设备免遭攻击。在电报上,可以通过切换“保存到图库”来完成相同的操作。