发现一个影响安卓WhatsApp和Telegram的新漏洞

2021-10-08 08:25:06
导读大家好,我是本栏目的编辑郝帅,现在就给大家讲解一下上面的问题。WhatsApp和Telegram等即时消息应用程序以端到端(E2E)加密而闻名。科技公

大家好,我是本栏目的编辑郝帅,现在就给大家讲解一下上面的问题。WhatsApp和Telegram等即时消息应用程序以端到端(E2E)加密而闻名。科技公司部署的强大加密功能可以防止公司和恶意行为者窥探您的对话。但现在一份新的报告显示,这些即时通讯应用程序并没有你想象的那么安全,因为黑客可以在你通过智能手机收到媒体文件后对其进行操作。

根据网络安全公司赛门铁克的研究,WhatsApp和Telegram中的一个安全漏洞被称为“媒体文件劫持”,它可能会导致恶意行为者在媒体文件到达您的智能手机后进行干预和操纵。

黑客如何劫持你的媒体文件?

考虑到E2E加密技术带来的轰动效应,这听起来有些超现实,但事实并非如此。在这种情况下,黑客利用了这两个流行应用程序的工作方式。以下是安全漏洞如何允许黑客操纵您的媒体文件:

正如软件工程师阿龙加特解释的那样,安卓智能手机可以在两个位置存储数据——内部和外部。虽然内部存储是安全的,因为它只能由应用程序访问,但外部存储不如保存到公共目录安全,可以由其他应用程序或用户修改。

接收媒体文件并将其写入磁盘,然后将其加载到应用程序中供用户使用,这两者之间存在时间差。

在这段时间间隔内,恶意黑客可以安装恶意软件,以便操纵接收到的媒体文件,甚至用他们选择的媒体文件替换它们。

“可以将其视为攻击者和加载文件的应用程序之间的竞争。如果攻击者首先访问文件-如果恶意软件监控公共目录中的变化,这几乎可以实时发生-收件人将会看到之前被操纵的文件。此外,用户看到的通知中显示的缩略图也将显示被操纵的图像或文件,因此收件人不会指示文件已被更改,”赛门铁克在其博客中写道。

令人担忧的是,在WhatsApp上,这种攻击不仅可以在发送媒体文件时启动,这意味着攻击是在发送方设备上启动的,还可以在接收媒体文件时启动,这意味着攻击发生在接收方设备上。

黑客能做什么?

黑客不仅可以操纵他们的图像和音频文件,还可以在获得用户媒体文件的权限时操纵他们的支付。根据赛门铁克的博客,黑客可以在不知道黑客攻击的情况下,近乎实时地操纵您的个人照片。他们可以使用语音重建技术来改变音频信息。他们可以在电报频道上播放虚假新闻,最后他们可以操纵供应商发给客户的发票,诱骗他们支付非法账户。

谁容易受到这种脆弱性的影响?

默认情况下,这个缺陷会影响安卓的WhatsApp,当一些功能被启用时,会影响安卓Telegram。

有没有办法减轻这个缺陷的影响?

赛门铁克已将媒体文件存储漏洞通知了Telegram和脸书。当用户试图修复此漏洞时,他们可以采取一些预防措施来减少此漏洞的影响。虽然WhatsApp用户可以在聊天设置中切换媒体可见性选项,这样他们收到的新媒体文件在默认情况下不会保存到手机的图库中,但Telegram用户可以在聊天设置中切换保存到图库选项。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。