WhatsApp與Telegram存在漏洞 駭客全面接管帳戶

E安全3月16日訊 Check Point公司的研究人員們日前披露了WhatsApp與Telegram線上平臺（即WhatsApp Web與Telegram Web）中存在的一項全新安全性漏洞。通過利用這項漏洞，攻擊者將可全面接管使用者帳戶，進而訪問受害者的個人與群組對話、照片、視頻、其它共用檔以及連絡人列表等等。

安全性漏洞影響

這項安全性漏洞允許攻擊者通過看似普通的圖像向受害者發送隱藏于其中的惡意程式碼。一旦使用者點擊圖片，攻擊者即可全面訪問受害者的WhatsApp或者Telegram存儲資料，從而直接接管對方帳戶。

攻擊者隨後則可將該惡意檔發送至受害者的全部連絡人處，最終實現更為廣泛的攻擊活動。

披露與修復

Check Point公司於2017年3月8日向WhatsApp與Telegram安全團隊披露了這一資訊。WhatsApp與Telegram雙方承認這一安全問題確實存在，並為全球Web版本客戶開發出修復方案。

Check Point公司產品安全性漏洞研究負責人Oded Vanunu表示，

“值得慶倖的是，WhatsApp與Telegram兩家公司迅速採取行動，立足全部Web用戶端對這項疸進行了回應，以防止其被惡意人士所利用。”WhatsApp Web用戶現在只需要重啟其流覽器即可確保使用最新版本的安全用戶端。

端到端加密

WhatsApp與Telegram利用端到端消息加密機制作為安全保護舉措，旨在確保只有通信方能夠閱讀消息內容，而中間攔截者則無法加以窺探。然而，此次曝光的安全性漏洞也正是源於同樣的端到端加密方案。

由於消息會在發送者一側進行加密，因此WhatsApp與Telegram本身無法掌握消息內容，意味著其無法防止發送惡意內容。在此項漏洞得到修復後，內容將在加密之前進行驗證，從而提前阻止惡意檔的傳播。

這兩款應用的Web版本皆會顯示由使用者通過移動應用發送及接收的全部消息，

且與使用者設備保持完全同步。

E安全注：