一张照片怎么能侵入你的WhatsApp和Telegram账户

两种流行的端到端加密消息服务最近修补了一个新的安全漏洞，WhatsApp和电报，这可能让黑客只需让用户点击一张图片就可以完全接管用户帐户。

黑客只影响基于浏览器的WhatsApp和Telegram版本，因此依赖移动应用的用户不易受到攻击。

根据检查点安全研究人员的说法，该漏洞存在于消息服务处理图像和多媒体文件的方式中，而没有验证它们是否在其中隐藏了恶意代码。
为了利用该漏洞，攻击者只需发送隐藏在看似无辜的图像中的恶意代码。一旦受害者点击图片，攻击者就可以完全访问受害者的WhatsApp或电报存储数据。

这最终允许攻击者在任何浏览器上完全访问用户帐户，查看和操作聊天会话，访问受害者的个人和群聊天、照片、视频、音频、其他共享文件和联系人列表。

为了使这种攻击广泛传播，攻击者可以向受害者联系人名单上的每个人发送带有恶意软件的图像，这最终可能意味着一个被劫持的帐户可能会通过跨越帐户而导致无数次的妥协。

视频演示

研究人员还提供了一个视频演示，下面给出了该攻击的行动。

以下是该漏洞未被发现的原因：

WhatsApp和Telegram都对其消息使用端到端加密，以确保除了发送方和接收方之外，任何人都无法读取其间的消息。
然而，同样的端到端加密安全措施也是该漏洞的来源。

由于消息是由发送方加密的，WhatsApp和Telegram不知道或无法知道恶意代码正在发送给接收方，因此无法阻止内容运行。

研究人员在一篇博客文章中写道：“由于消息未经验证就被加密，WhatsApp和Telegram对内容视而不见，因此无法阻止恶意内容的发送”。

WhatsApp在3月8日周四的24小时内修复了该漏洞，Telegram在周一修复了该问题。

由于修复程序已应用于服务器端，用户无需更新任何应用程序来保护自己免受攻击；相反，他们只需要重新启动浏览器。

Check Point产品漏洞研究负责人奥德·瓦努努（Oded Vanunuu）说：“这是一项重要服务中的一个巨大漏洞”。“谢天谢地，WhatsApp和Telegram做出了迅速而负责任的响应，在所有web客户端部署了针对利用此问题的缓解措施”。

WhatsApp没有注意到该漏洞被滥用，而Telegram声称该缺陷不如WhatsApp严重，因为它要求受害者右键单击图像内容，然后在新窗口或选项卡中打开它，以便恶意代码运行并攻击其用户。

修复此漏洞后，WhatsApp和Telegram的网络版本上的内容现在将在端到端加密生效之前进行验证，从而阻止恶意文件。