如何用一张图片入侵Whatsapp和Telegram账户?

本文讲的是如何用一张图片入侵Whatsapp和Telegram账户?

下次别人再给你发送照片时,你一定要小心了,不管是萌萌的宠物照,还是她的美照,都不要立马点开。因为一旦你点开了图片,黑客就可以利用这张图片入侵你的Whatsapp和Telegram账户。

近日,Checkpoint的安全研究员在Whatsapp和Telegram通信软件上发现了一枚漏洞。漏洞产生的原因是软件处理图片和多媒体文件过程中没有经过验证,恶意代码可以隐藏在图片或者多媒体文件中。所以,攻击者可以通过向受害者发送一张图片,进而控制用户账户。

据安全专家研究发现,只有浏览器版的Whatsapp和Telegram才受影响,移动版本不存在该漏洞。为了利用该漏洞展开攻击,攻击者需要在一张看似没有任何问题的图片中隐藏恶意代码,然后发送给受害者。一旦受害者打开了图片,那么攻击者即可访问受害者Whatsapp和Telegram账户数据,包括查看并操纵会话、访问受害者个人和群聊天记录、查看照片、视频、音频、通讯录以及其他文件。

如果攻击者向进一步扩大攻击范围,可以再次向受害者的通讯录发送恶意图片,一传十,十传百的感染下去。

演示视频

安全研究员为了证实这一漏洞的存在,给出了如下的演示视频:

Whatsapp版演示视频

Telegram版演示视频

为什么该漏洞就被忽略?

我们都知道Whatsapp和Telegram是端对端加密的通信软件,除了消息的发送者和接受者可以查看通信信息,没有人能够劫持他们的通信,所以我们想当然的以为它们已经足够安全。

通过Whatsapp和Telegram发送的信息,在发送端就已经加密,在接收端需要经过解密密钥才能查看。然而,我们都没有想到的是恶意代码可以跟随着信息的传递而传递(即使经过加密、解密的过程也不受影响)到接受者手中。

在收到漏洞报告之后,Whatsapp在24小时之内(3月8日)就将漏洞修复了,Telegram也在13日修复了漏洞。

Whatsapp和Telegram是在服务器端修复了漏洞,所以用户无需更新软件,但是需要重启浏览器。

原文发布时间为:2017年3月16日

本文作者:張奕源Nick

本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

原文链接

时间: 2024-11-01 10:10:02

如何用一张图片入侵Whatsapp和Telegram账户?的相关文章

WhatsApp与Telegram中存在安全漏洞,允许黑客全面接管帐户

3月16日讯 Check Point公司的研究人员们日前披露了WhatsApp与Telegram在线平台(即WhatsApp Web与Telegram Web)中存在的一项全新安全漏洞.通过利用这项漏洞,攻击者将可全面接管用户帐户,进而访问受害者的个人与群组对话.照片.视频.其它共享文件以及联系人列表等等. WhatsApp与Telegram中存在安全漏洞,允许黑客全面接管帐户-E安全 安全漏洞影响这项安全漏洞允许攻击者通过看似普通的图像向受害者发送隐藏于其中的恶意代码.一旦用户点击图片,攻击者

细思极恐!最安全的Telegram账户信息也免不了被破解

Telegram被称为是最安全的即时通讯应用,所以它在伊郎等地也十分受欢迎,有上千万用户.不过最近的一次事件表明,它可能没想像中的安全. 两位研究人员Collin Anderson和Claudio Guarnieri发现,数十位Telegram用户受到了SMS重新定向入侵,攻击者能完全获得账号信息,读取聊天记录和联系人信息. 攻击瞄准的是Telegram的账户安全体系,而非账户间的信息加密.用户向Telegram账户添加新设备时,需要通过一次性的 SMS短信来确认,但如果短信被拦截,账户会被克隆

俄黑客入侵4千万icloud账户 要付费解锁

据俄罗斯"Vistanews"新闻网7月13日消息,俄罗斯黑客入侵4千万个苹果云(Apple icloud)账户,使用户手机被锁,要解锁还需付费. 据报道,俄罗斯黑客从数据库中窃取了4千万苹果云账号,并使安装有苹果操作系统的手机被锁.黑客给手机被锁的用户发送信息,称需付30-50美元即可解锁.若用户向黑客妥协,就会被限定在12小时内付款,否则其苹果云中所有数据将会被清除. 目前官方还未就苹果云账户被盗一事作出解释.但专家提醒那些在苹果云和苹果手机账户名上使用同一密码的用户多加小心,建议

安卓 “Gooligan” 病毒入侵 130 万谷歌账户

北京时间 11 月 30 日晚间消息,互联网安全公司 Check Point 今日发布报告称,一款名为 "Gooligan" 的特洛伊木马程序将自己伪装成合法应用 (App) 入侵 Android 智能手机和平板电脑,自 8 月份以来已控制了 100 多万个谷歌账号. StopWatch.Perfect Cleaner 和 WiFi Enhancer 等,这些应用听起来都是一些无辜的合法应用.但是,它们却利用旧版本 Android 系统的已知漏洞入侵 Android 设备,在未经用户许

四黑客入侵窃取联众账户被诉盗窃罪

四网民转卖被诉盗窃罪 本报讯(记者张蕾 通讯员颜君)一"黑客"侵入联众的电脑系统,盗取大量含有游戏币的账户名和密码,并将所盗取的账户名和密码进行转卖.被转卖的账户内含有"联众币"160万个,价值16万元.记者上午获悉,在这起事件中参与转卖被盗账户的李良等4名网民,日前被检察院以盗窃罪诉至海淀法院."黑客"陈震以及赃物的终端购买者被另案处理. 据悉,李良等4名被告人最大的35岁,最小的24岁. 检察机关指控,2008年11月,陈震(另案处理)利用黑

WhatsApp封锁了同行Telegram的链接

WhatsApp作为一个坐拥全球十亿用户的即时通信App,是这个领域的明星产品. 但是近日WhatsApp却对新兴的同行Telegram采取了竞争性封锁措施:在WhatsApp安卓客户端上,只要包含Telegram关键字的内容均无法生成链接,甚至Telegram.com,这种跟Telegram Messenger毫无关系的链接都无法生成. 目前这个机制并没有加入到WhatsApp的iOS版和Web版中,已经实行的只有安卓版. 目前这个机制并没有加入到WhatsApp的iOS版和Web版中,已经实

维基解密再爆猛料:CIA利用漏洞入侵全球数十亿个人电子设备

美国当地时间本周二,维基解密称他们获取到了8761份来自美国中央情报局(下称CIA)的文件.这些文件透露了美国政府的强大黑客工具可以通过监控数十亿人的日常电子设备来窥探大家的隐私,电视.智能手机甚至杀毒软件都有可能受到CIA的黑客入侵.一旦入侵后,他们能够获取你的声音.图像和短信信息,甚至是经过加密软件处理的聊天内容. 据维基解密所说,这些数据代号为Vault 7,文件日期介于2013年和2016年之间,据说是已公布的相关CIA最大规模的机密文档,文件细数了CIA所用的网络入侵工具及其拥有的入侵

维基解密曝光美国CIA监听技术:可入侵iPhone等多种设备

北京时间3月8日消息,据路透社报道,维基解密在周二发布了数千页美国中情局(CIA)内部文件.该文件讨论了CIA多年来所采用的入侵技术,再度引发外界对于消费电子设备安全的担忧,令CIA陷入尴尬境地. 内部讨论文件显示,CIA黑客可以入侵苹果iPhone.谷歌Android设备以及其它产品,目的是在文本和视频消息在得到精密软件加密前提前获取这些内容. 维基解密目前所发布的文件内容真实性还无法确认,但是多位承包商和私人网络安全专家表示,这些标注日期在2013年至2016年的材料似乎是真实的. 在这些文

WhatsApp的“后门”是故意为之,还是提升体验的副产品?

来自加州大学的安全研究人员Tobias Boelter最近发布了一份报告,报告中提到像Whatsapp和Telegram这样的端对端加密通信服务商所采用的基于信号协议的加密方式存在后门.<卫报>率先对此进行了报道,生成WhatsApp.入侵者甚至情报机构都可通过利用这种基于信任的密钥交换机制去拦截用户信息,而用户却对此一无所知. 这是怎样一个"后门"? WhatsApp采用端到端加密机制,A给B发消息.A持有的设备用自己的私钥和B所持有设备的公钥来加密信息,B收到信息后再用