WhatsApp網頁版現漏洞︰一張圖片就可入侵帳戶
我們想讓你知道的是
有資訊安全公司發現WhatsApp網頁版有個嚴重漏洞,令用戶只要打開一張照片就會被入侵帳戶,但漏洞已經修補。
WhatsApp是不少人常用的通訊軟件,兩年前更推出網頁版,方便用戶在電腦上也可以使用。去年WhatsApp全面啟用「點對點加密」,令通訊更加安全。
不過近日以色列的資訊保安公司Check Point Security的研究人員發現,用戶只要打開一張含有惡意程式碼的圖片,其帳戶就會被入侵,黑客可以讀取所有資料,包括通訊記錄。以下是示範影片︰
研究人員提到,類似但更複雜的攻擊可用於另一標榜安全的通訊軟件Telegram的網頁版上。
不過Telegram回應時指出,用戶只有透過Chrome使用Telegram網頁版播放影片,再以右鍵點擊正在播放的影片選「開啟新分頁」才會被入侵,跟WhatsApp用戶只要打開圖片就被入侵帳戶相比,問題輕微得多——例如Telegram的桌面版應用程式不會受到影響。
無論如何,兩家公司都迅速修補了有關漏洞。WhatsApp的發言人表示,當Check Point向他們匯報這個漏洞後,他們在一日之內已經更新了WhatsApp網頁版解決問題,並建議用戶重新啟動瀏覽器,確保使用最新版本。
有資訊保安研究人員指出,今次漏洞凸顯使用網頁應用程式的弱點。加密技術顧問公司Symbolic Software創率人Nadim Kobeissi指出,Check Point的發現顯示網頁應用會受到手機版程式免疫的攻擊,他建議關注私隱及安全的人在iPhone上使用WhatsApp。
早前《維基解密》釋出的文件顯示,美國中情局可以透過安全漏洞取得手機系統控制權,從而繞過通訊軟件的加密機制來讀取訊息。今次WhatsApp網頁版的漏洞同樣提醒我們,沒有絕對安全的通訊軟件,系統上任何一個漏洞,都會導致其他保安設計得物無所用。
相關文章︰
- 《維基解密》再爆料,你的WhatsApp、Telegram不安全了嗎?
- WhatsApp有安全漏洞? 別恐慌,先了解「中間人攻擊」是甚麼
- 矽谷對監控的回應︰WhatsApp全面使用「點對點」加密防竊聽
資料來源︰
- Check Point Discloses Vulnerability that Allowed Hackers to Take over Hundreds of Millions of WhatsApp & Telegram Accounts (Check Point Blog)
- WhatsApp Hack Shows That Even Encryption Apps Are Vulnerable in a Browser (Wired)
- Unlike in WhatsApp, nobody could take over your Telegram account by simply sending you a photo (Telegram)
- WhatsApp and Telegram accounts could be hijacked by sending malware-laced images (The Verge)
- WhatsApp, Telegram flaws left accounts vulnerable to hackers (CNET)