WhatsApp與Telegram中存在安全漏洞，允許黑客全面接管帳戶

3月16日訊 check point公司的研究人員們日前披露了whatsapp與telegram線上平台（即whatsapp web與telegram web）中存在的一項全新安全漏洞。通過利用這項漏洞，攻擊者将可全面接管使用者帳戶，進而通路受害者的個人與群組對話、照片、視訊、其它共享檔案以及聯系人清單等等。

whatsapp與telegram中存在安全漏洞，允許黑客全面接管帳戶-e安全

安全漏洞影響

這項安全漏洞允許攻擊者通過看似普通的圖像向受害者發送隐藏于其中的惡意代碼。一旦使用者點選圖檔，攻擊者即可全面通路受害者的whatsapp或者telegram存儲資料，進而直接接管對方帳戶。

whatsapp與telegram中存在安全漏洞，允許黑客全面接管帳戶 - e安全

攻擊者随後則可将該惡意檔案發送至受害者的全部聯系人處，最終實作更為廣泛的攻擊活動。

披露與修複

check point公司于2017年3月8日向whatsapp與telegram安全團隊披露了這一資訊。whatsapp與telegram雙方承認這一安全問題确實存在，并為全球web版本客戶開發出修複方案。

check point公司産品安全漏洞研究負責人oded vanunu表示，“值得慶幸的是，whatsapp與telegram兩家公司迅速采取行動，立足全部web用戶端對這項疸進行了響應，以防止其被惡意人士所利用。”whatsapp web使用者現在隻需要重新開機其浏覽器即可確定使用最新版本的安全用戶端。

端到端加密

whatsapp與telegram利用端到端消息加密機制作為安全保護舉措，旨在確定隻有通信方能夠閱讀消息内容，而中間攔截者則無法加以窺探。然而，此次曝光的安全漏洞也正是源于同樣的端到端加密方案。

由于消息會在發送者一側進行加密，是以whatsapp與telegram本身無法掌握消息内容，意味着其無法防止發送惡意内容。在此項漏洞得到修複後，内容将在加密之前進行驗證，進而提前阻止惡意檔案的傳播。

這兩款應用的web版本皆會顯示由使用者通過移動應用發送及接收的全部消息，且與使用者裝置保持完全同步。

本文轉自d1net（轉載）