專家教路

駭客數秒內入侵數億 WhatsApp 和Telegram 帳戶之手法

Check Point (NASDAQ:CHKP) 的研究人員公佈了全球兩大熱門傳訊服務 WhatsApp 和Telegram 網路平台 (WhatsApp Web 和 Telegram Web) 出現的新漏洞。只要利用這個漏洞,攻擊者就能透過任何瀏覽器全面盜用使用者的帳戶並取得受害者的私人和群組對話、照片、影片和其他分享的檔案、聯絡人清單,以及更多資訊。Check Point 產品漏洞研究總監 Oded Vanunu 表示:「這個新漏洞會讓 WhatsApp Web 和 Telegram Desktop 的數億使用者蒙受帳戶遭到全面盜用的風險。攻擊者只要傳送一張看似無害的照片,就能輕而易舉地盜用帳戶、查看訊息記錄、使用者曾經分享過的所有照片,還能冒用使用者的身分傳送訊息。」

駭客能夠利用這項漏洞傳送看似無害卻潛藏惡意程式碼的圖片給受害者。只要使用者按下圖片,攻擊者就能掌握受害者的 WhatsApp 或 Telegram 儲存資料存取權限,從而在受害者的帳戶中通行無阻。之後,攻擊者還可以將惡意檔案傳送給受害者的所有聯絡人,有可能因此擴大攻擊範圍。

Check Point 已於 2017 年 3 月 8 日將這項資訊告知 WhatsApp 和 Telegram 的安全團隊。WhatsApp 和 Telegram 都承認這個安全問題,並迅速開發出修正程式提供全球網頁用戶端使用。Oded Vanunu 表示:「所幸,WhatsApp 和 Telegram 都迅速負起責任,並且部署了補救措施,避免所有網頁用戶端因為這個問題而受到危害」。WhatsApp Web 使用者若想確定自己所用的是最新版本,建議重新啟動瀏覽器。

WhatsApp 和 Telegram 所採取的資料安全措施是端對端訊息加密技術,以此確保只有通訊雙方能夠閱讀訊息內容,當中任何人均無法看見。但是,他們所採用端對端技術正是這項漏洞的源頭。由於訊息是在傳訊端進行加密,因此 WhatsApp 和 Telegram 無法得知內容,也無法預防使用者傳送惡意內容。兩家公司已經修正了這個漏洞,現在可在加密之前驗證內容,也可以封鎖惡意檔案。

WhatsApp 的使用者超過 10 億名,因此成為目前最普及的即時傳訊服務。所有瀏覽器和支援WhatsApp 的平台皆可使用該公司的網頁版本,包括Android、iPhone (iOS)、Windows Phone 8.x、BlackBerry、BB10 和 Nokia 智慧型手機。

Telegram 是一款雲端式行動和桌上型傳訊應用程式,每月經常使用者超過 1 億名,每天傳遞超過 150 億則訊息。

相關文章