WhatsApp和Telegram等即时通讯应用以端到端(E2E)加密而闻名。科技公司部署的强大加密功能可防止公司和恶意行为者窥探您的对话。但是现在一份新的报告表明,这些即时通讯应用程序并不像您认为的那样安全,因为黑客可以在您通过智能手机接收媒体文件后操纵媒体文件。
根据一家网络安全公司赛门铁克的研究,WhatsApp和Telegram中的一个安全漏洞被称为“媒体文件顶升”,可能导致恶意行为者在到达您的智能手机后干预和操纵媒体文件。
黑客如何劫持您的媒体文件?
鉴于E2E加密产生的嗡嗡声,这听起来超现实,但事实并非如此。在这种情况下,黑客利用这两种流行应用程序的工作方式。以下是安全漏洞如何让黑客操纵您的媒体文件:
正如软件工程师Alon Gat所解释的那样,Android智能手机可以将数据存储在两个位置 – 内部和外部。虽然内部存储是安全的,因为它只能由应用程序访问,但外部存储不像保存到公共目录那样安全,可以被其他应用程序或用户修改。
接收和写入媒体文件到磁盘之间以及将它们加载到应用程序以供用户使用时之间存在时间差。
在此时间滞后期间,恶意黑客可以安装恶意软件,使其能够操纵接收的媒体文件,甚至用他们选择的媒体文件替换它们。
“将其视为攻击者与加载文件的应用程序之间的竞争。如果攻击者首先访问文件 – 如果恶意软件监视公共目录中的变化,这几乎可以实时发生 – 收件人将在之前看到被操纵的文件另外,用户看到的通知中显示的缩略图也会显示被操纵的图像或文件,因此收件人不会指示文件已被更改,“赛门铁克在其博客上写道。
令人担忧的是,在WhatsApp上,这种攻击不仅可以在发送媒体文件时启动,这意味着攻击是在发送者的设备上启动的,也可以在接收媒体文件时启动,这意味着攻击发生在接收设备上。
黑客可以做些什么?
黑客在获取用户媒体文件的权限时,不仅可以操纵他们的图像和音频文件,还可以操纵他们的付款。根据赛门铁克的博客,黑客可以近乎实时地操纵您的个人照片,而无需了解黑客攻击。他们可以使用语音重建技术来改变音频信息。他们可以在电报频道播放虚假新闻,最后他们还可以操纵供应商发送给客户的发票,诱骗客户向非法帐户付款。
谁容易受到此漏洞的影响?
默认情况下,这个缺陷会影响WhatsApp for Android,而当某些功能启用时,会影响Android的Telegram。
有没有办法减轻这个缺陷的影响?
赛门铁克已经向Telegram和Facebook通报了媒体文件存储漏洞。当他们正在努力修复这个漏洞时,用户可以采取一些预防措施来减轻这个缺陷的影响。虽然WhatsApp用户可以在聊天设置中切换媒体可见性选项,以便他们收到的新媒体文件默认不会保存到手机的图库中,但Telegram用户可以在聊天设置中切换保存到图库选项。
