News

Check Point 揭WhatsApp、Telegram存保安漏洞

  •  
  •  
  •  

Check Point 揭露駭客得以在數秒內順利入侵數億個WhatsApp 和 Telegram 帳戶,此兩大平台的網頁版出現了新的漏洞,可能已經讓駭客得以全面盜用相關帳戶。

WhatsApp 和 Telegram存保安漏洞

Check Point的研究人員今天公佈了全球兩大熱門傳訊服務 WhatsApp 和 Telegram 網路平台 (WhatsApp Web 和 Telegram Web) 出現的新漏洞。只要利用這個漏洞,攻擊者就能透過任何瀏覽器全面盜用使用者的帳戶並取得受害者的私人和群組對話、照片、影片和其他分享的檔案、聯絡人清單,以及更多資訊。

Check Point 產品漏洞研究總監 Oded Vanunu 表示:「這個新漏洞會讓 WhatsApp Web 和 Telegram Desktop 的數億使用者蒙受帳戶遭到全面盜用的風險。攻擊者只要傳送一張看似無害的照片,就能輕而易舉地盜用帳戶、查看訊息記錄、使用者曾經分享過的所有照片,還能冒用使用者的身分傳送訊息。」

駭客利用附件入侵

駭客能夠利用這項漏洞傳送看似無害卻潛藏惡意程式碼的圖片給受害者。只要使用者按下圖片,攻擊者就能掌握受害者的 WhatsApp 或 Telegram 儲存資料存取權限,從而在受害者的帳戶中通行無阻。之後,攻擊者還可以將惡意檔案傳送給受害者的所有聯絡人,有可能因此擴大攻擊範圍。

Check Point 已於 2017 年 3 月 8 日將這項資訊告知 WhatsApp 和 Telegram 的安全團隊。WhatsApp 和 Telegram 都承認這個安全問題,並迅速開發出修正程式提供全球網頁用戶端使用。Oded Vanunu 表示:「所幸,WhatsApp 和 Telegram 都迅速負起責任,並且部署了補救措施,避免所有網頁用戶端因為這個問題而受到危害」。WhatsApp Web 使用者若想確定自己所用的是最新版本,建議重新啟動瀏覽器。

加密技術反成漏洞

WhatsApp 和 Telegram 所採取的資料安全措施是端對端訊息加密技術,以此確保只有通訊雙方能夠閱讀訊息內容,當中任何人均無法看見。但是,他們所採用端對端技術正是這項漏洞的源頭。由於訊息是在傳訊端進行加密,因此 WhatsApp 和 Telegram 無法得知內容,也無法預防使用者傳送惡意內容。兩家公司已經修正了這個漏洞,現在可在加密之前驗證內容,也可以封鎖惡意檔案。


  •  
  •  
  •  

Tony Lai

IT Pro 記者。如有任何科技新聞及消息提供,歡迎電郵聯絡。