Telegram 的创建者之一帕维尔·杜罗夫 (Pável Dúrov) 不会错过任何时候说出来的机会:WhatsApp 充满安全漏洞 (你可以在这里阅读他的宣言)。不用走极端的帕维尔,他认为 Facebook 消息应用程序是一个成熟的特洛伊木马程序,事实是 WhatsApp 是黑客的真正糖果:数十亿人使用它,因此他们的行为往往会产生影响全球影响力。
网络犯罪分子可以利用 5 种技术入侵 WhatsApp 帐户
撇开 WhatsApp 可能存在的所有安全问题不谈(并了解这些问题可以通过应用更新解决),事实是,我们对话的完整性和隐私性可能会受到多种损害。这些是一些最突出的。
1- 通过 GIF 远程执行代码
就在一个月前,也就是 2019 年 10 月,安全研究员“Awakened”在 Github 的一篇帖子中解释了他如何检测到 Android 版 WhatsApp 中的一个安全漏洞,该漏洞允许黑客通过发送一个简单的 GIF 来控制它。
该黑客利用了 WhatsApp 处理图像的方式:当系统尝试显示 GIF 预览时,它会分析整个 GIF,而不仅仅是选择第一张图像。由于 GIF 文件是一个接一个的图像序列,这允许黑客 在一张图片和另一张图片之间输入代码.那会发生什么?当 WhatsApp 试图预览黑客发送的 GIF 时,通过分析 GIF 的“完整包”(图像 + 中间代码),用户甚至没有打开相关 GIF 就被感染了。
幸运的是,据 Awakened 本人称,在将问题通知 Facebook 后,该问题已通过最近更新中的补丁(更具体地说,在 WhatsApp for Android 2.19.244 版本中)得到纠正。
2- 社会工程攻击
社会工程攻击利用人类心理来窃取信息或传播恶作剧和假新闻。我们在下面评论的这个安全漏洞是由 Check Point Research 发现的,它利用 WhatsApp 中使用的“引用”功能来回复或发送对聊天中特定消息的回复。
诀窍基本上是回复消息,但是 修改发件人的文本.为此,WhatsApp 的网络版本用于使用 Burp 解码器作为中介来解密消息。在这个简短的说明视频中,我们可以更清楚地看到它的操作。
根据 ZDNet 在 2019 年 8 月发布的这篇帖子中的说法,尽管该漏洞是在 2018 年发现的,但尚未实施任何补丁来解决该问题。
3- Pegasus 语音通话
这是一种通过 WhatsApp 进行语音通话的攻击。最可怕的是 我们甚至不需要接听电话,它甚至可以在不知情的情况下感染用户。
用于这种攻击的方法是所谓的“堆栈溢出”,它包括在一个小缓冲区中引入大量代码,这样它就会溢出并最终将代码写入不应该出现的地方能够访问。
在这种情况下,黑客会引入一种名为“Pegasus”的恶意软件,它能够访问受害者的消息、电话、照片和视频。
这次攻击是由一家以色列公司使用的,该公司被指控监视大赦国际等组织和其他支持人权的活动家团体。 WhatsApp 已经修补了应用程序以防止此类攻击,但如果您有 2.19.134 之前的 Android 版 WhatsApp,或 iOS 上的 2.19.51 之前的版本,最好尽快更新。
4-变化的诀窍
另一种类型的攻击称为“多媒体文件劫持”,它利用了大多数消息传递应用程序(例如 WhatsApp 和 Telegram)中存在的漏洞。
在这里,黑客会将恶意代码插入到一个原则上无害的应用程序中,一旦受害者安装了它,他们就会倾听。因此,当用户通过 WhatsApp 收到照片或视频并将其转到他们的图库时,该应用程序将能够 获取传入的文件并替换它 对于另一个完全不同的文件。
据赛门铁克称,这是一个骗局,可用于传播虚假新闻和鼓励错误信息。无论如何,这是一种“黑客”,我们可以通过在“设置 -> 聊天“并停用标签“媒体文件可见性”.
5- 你好,Facebook……你在吗?
最后,我们不能不提及 Facebook 本身就关闭这篇文章。尽管 WhatsApp 使用端到端加密来保护我们通过 WhatsApp 发送的所有内容的内容,但仍有许多声音认为大 F 公司可能会监视部分对话。
这是因为,正如开发人员 Gregorio Zanon 所指出的那样,尽管 WhatsApp 使用端到端加密,但在 iOS 8 及更高版本中,应用程序使用所谓的“共享容器”来访问某些文件。
Facebook 和 WhatsApp 在设备上使用相同的共享容器。尽管在关键时刻聊天是通过应用程序完全加密发送的,但这并不意味着它们在源设备上是加密的。
然而,应该清楚的是,没有证据表明 Facebook 正在阅读私人的 WhatsApp 消息(尽管它可能有这样做的可能性)。更重要的是,该公司一直特别重视保护用户隐私,通过其隐私政策和应用程序官方博客上的 ESTA 等帖子。
你有 电报 安装了吗?收到每天最好的帖子 我们的频道.或者,如果您愿意,请从我们的 脸书专页.