近年,不少IT公司遭入侵而泄漏大量用戶資訊,亦有不少名人的iCloud帳戶被黑客入侵,被盜去大量私人照片;可以預期,受歡迎的流動應用,往往容易成為黑客攻擊的目標。
Check Point Software Technologies的研究人員,上周便公布了兩大傳訊服務WhatsApp,和 Telegram網絡平台出現的新漏洞。只要利用此漏洞,攻擊者即能透過任何瀏覽器全面盜用使用者的帳戶,並取得受害者的私人和群組對話、照片、影片,和其他分享的檔案、聯絡人清單,以及更多資訊。
Check Point產品漏洞研究總監 Oded Vanunu 表示:「這個新漏洞會讓 WhatsApp Web 和 Telegram Desktop 的數億使用者,蒙受帳戶遭到全面盜用的風險。攻擊者只要傳送一張看似無害的照片,就能輕而易舉地盜用帳戶、查看訊息記錄、使用者曾經分享過的所有照片,還能冒用使用者的身分傳送訊息。」
WhatsApp和Telegram承認加密存在漏洞
透過新漏洞,黑客得以傳送看似無害,卻潛藏惡意程式碼的圖片給受害者。使用者若按下圖片,攻擊者就能掌握受害者的WhatsApp,或Telegram儲存資料存取權限,從而在受害者的帳戶內通行無阻。隨後,攻擊者還可以將惡意檔案傳送給受害者的所有聯絡人,從而擴大攻擊範圍。
Check Point已於3月8日,將這項資訊告知WhatsApp和Telegram的安全團隊。WhatsApp和Telegram均承認該安全問題,並迅速開發出修正程式,提供全球網頁用戶端使用。WhatsApp Web 使用者若想確定自己所用的是最新版本,建議重新啟動瀏覽器。
WhatsApp 和 Telegram 所採取的資料安全措施,是端對端訊息加密技術,以此確保只有通訊雙方能夠閱讀訊息內容,當中任何人均無法看見。但是,他們所採用端對端技術正是這項漏洞的源頭。由於訊息是在傳訊端進行加密,因此 WhatsApp 和 Telegram 無法得知內容,也無法預防使用者傳送惡意內容。兩家公司已修正了此漏洞,現可在加密之前驗證內容,也可以封鎖惡意檔案。