Menu

Check Point Research 帮助修复 WhatsApp 群聊崩溃问题



WhatsApp曝重大安全漏洞 允许黑客篡改用户聊天信息

• 2019年08月09日08:24 • 腾讯科技

图片 1

据外媒报道,以色列网络安全公司Check
Point今日称,在Facebook旗下流行的消息应用WhatsApp中发现严重安全漏洞,允许黑客操控用户的聊天消息,无论是在公共对话模式下,还是私密对话。

很明显,这些安全漏洞可能导致错误信息的传播,而这些信息又似乎是来自可信赖的消息来源。

Check
Point称,其研究人员发现了三种可能改变用户对话的方式。其一,使用群组对话中的“引用”(quote)功能来更改消息发送者的身份;其二,允许黑客改变其他人回复的文本。其三,允许一个人向另一个群组的成员发送私信,伪装成发送给所有人的公开信息人。这样,当目标个体回复时,对话中的每个人都可以看到。据Check
Point称,目前第三种方式已被修复。

对此,Facebook一名发言人在一份电子邮件声明中表示:“我们在一年前仔细审查了这个问题,认为我们在WhatsApp上提供的安全存在漏洞的说法是错误的。需要指出的是,解决这些研究人员提出的问题可能会降低WhatsApp的私密性。”

但Check Point产品漏洞研究负责人奥德·瓦努努(Oded
Vanunu)认为,这些漏洞可能会产生重大后果,因为WhatsApp拥有约15亿用户,被广泛用于个人对话、商业通信和政治消息传递等。

Check
Point还称,去年年底向WhatsApp通知了这些漏洞,但WhatsApp认为,其中只有一个算是漏洞,即将私人信息伪装成整个群体都可以看到的信息。后来,该问题已经得到了解决。

瓦努努还称,Check
Point正在与WhatsApp合作解决这些问题,但由于消息应用程序的加密,其他问题很难解决。

研究发现的安全缺陷允许攻击者创建恶意群消息,这将导致用户设备上装载的
WhatsApp 崩溃,必须安装最新版本才能修复。
近日,全球网络安全解决方案提供商 Check Point
软件技术有限公司的威胁情报部门 Check Point Research 最近帮助消除了在
WhatsApp
中发现的新漏洞。该漏洞允许攻击者传递恶意群聊消息,进而导致群组所有成员所用应用崩溃。若要重新使用
WhatsApp,用户需要卸载并重新安装应用,然后删除含有恶意消息的群组。
为了创建恶意消息,攻击者需要加入目标群组。之后,攻击者需要使用 WhatsApp
Web 及其 Web
浏览器调试工具来编辑特定消息参数,然后将编辑后的文本发送至群组。该消息将导致群组成员陷入崩溃怪圈,拒绝其访问所有
WhatsApp 功能,直至他们重新安装 WhatsApp 并删除带有恶意消息的群组。
Check Point 产品漏洞研究负责人 Oded Vanunu 表示:WhatsApp
是全球领先的通信渠道之一,广泛用于广大消费者、企业和政府机构,因此若能够阻止用户使用
WhatsApp并迫使其从群聊中删除重要信息,对于攻击者而言绝对是一项非常有力的武器。所有
WhatsApp 用户均应升级至最新版应用,以保护自身免遭此类攻击。 2019 年 8 月
28 日,Check Point Research 负责任地向 WhatsApp
漏洞报告奖励项目披露了其发现。WhatsApp
确认了该发现,并开发了解决该问题的修复程序。用户应手动应用于其设备。Oded
Vanunu 表示:WhatsApp
尽责地做出了快速响应,针对这一漏洞利用威胁部署了防御措施。 WhatsApp
软件工程师 Ehren Kret 表示:WhatsApp
非常重视技术社区工作,这些工作可帮助我们保障全球用户的安全。感谢 Check
Point 负责地向我们的漏洞报告奖励项目提交了其发现,我们于 9
月中旬快速解决了所有 WhatsApp
应用存在的这一漏洞。此外,我们最近还增添了新的控件,可防止用户被添加到不必要的群组,从而避免与不可信成员进行通信。
Check Point Research 团队通过检查 WhatsApp 和 WhatsApp Web
之间的通信发现了这一漏洞。这使研究人员可以查看 WhatsApp
通信所使用的参数,并执行相应操作。新研究基于 Check Point Research
发现的FakesApp缺陷,后者允许攻击者编辑群聊消息以传播虚假新闻。 WhatsApp
拥有 15 亿用户和超过 10
亿个群组,是全球最受欢迎的即时通讯应用。用户每天通过 WhatsApp 发送超过
650 亿条消息。

责任编辑:刘沙

发表评论

电子邮件地址不会被公开。 必填项已用*标注

相关文章

网站地图xml地图