恶意上传允许劫持WhatsApp和电报帐户
NASA测试MARS的可折叠,机器人侦察兵
零售法的变化如何影响客户体验
微软接管了Github,因为它扩展了其开源计划
随着CIO与数字技术战略的斗争,IT支出达到10年高
OFCOM提出支持宽带投资的监管变更
抓取概述了网络安全的方法
IBM的新程序包括一个50态量子计算机
公司需要适应千禧一代的新通信需求
警方逮捕人涉嫌建设百万路由器德国僵尸网络
Twitter Counter黑客:数百名高调推特账户被劫持
供应短缺继续枯萎的emea-宽的服务器市场,Gartner数据显示
宾夕法尼亚州Sues IBM陷入困境$ 110M升级
PG&E部署其第一台TESLA PowerPack电池存储站
安全研究人员发现第四个CPU缺陷
在5G之前,一些移动用户可能会得到近5G
要惩罚赛门铁克,谷歌可能会使三分之一的网络SSL证书不信任
布伦特理事会租户接收全纤维宽带服务
英格兰和威尔士蟋蟀委员会改善球员的医疗数据
苹果在传统市场失去了地面:教育
芬兰的研发支出在丢失十年后正在恢复
AWS如何在海湾保持竞争对手
放松:这款手机测量血压
只需在150个技术专业人才的了解中
英国呼吁使用欧盟新的数据共享模型
Google Play面向Cat和鼠标游戏与Sneaky Android Malware
招聘人员:需要编码人才;程度可选
BDRIVE使用指纹和碎片保护云中的文件
NHS信任转储为Nutanix超级融合的EMC San
特斯拉成为夏威夷考艾岛的电池储存供应商
谷歌宣布三个新的云层,合同折扣
边缘的智能将看到从云迁移的工作负载
莫斯科的智能技术包括160,000个户外摄像头
澳大利亚初创公司团队努力保持风力涡轮机嗡嗡声
Morgan Stanley使用Amazon Alexa来告知客户
三分之一的人会从谷歌或亚马逊购买保险
VPN黑客可以致命,警告安全专家
ICO可以在Facebook探测中使用新的GDPR权力
联邦调查局扩展Facebook数据共享探针
Cunnington说,GDS正在努力民主化数字化数字化
巨大的新加坡数据突破表演需要新的方法
笔测试人员在银行网络安全中找到了缺点
IBM结果留下了Watson思维
工业赌注固定无线访问首次5G部署
新加坡公司转向区块链,以改善粮食安全
Nordic Healthcare Services提供商提供IT基础架构
Wikileaks看着帮助技术供应商解除CIA黑客工具
消费者对智能家庭谨慎了解太多
分析师问题澳大利亚政府的IBM交易
Safari浏览器脱掉用户,模仿IE
您的位置:首页 >产品 > 智能硬件 >

恶意上传允许劫持WhatsApp和电报帐户

2021-08-08 16:44:03 [来源]:

在基于Web的加密通信服务中修补的漏洞WhatsApp和电报将允许攻击者通过向伪装为图像或视频的用户恶意文件来接管帐户。

该漏洞是通过检查点软件技术的研究人员发现的漏洞,并在该公司私下分享漏洞的详细信息后由WhatsApp和电报开发商进行修补。

WheSApp和Telegram的基于Web的版本将自动同步,使用用户上安装的应用程序“电话。至少在WhatsApp的情况下,一旦使用QR码配对,手机需要具有活动的Internet连接,用于将消息中继到计算机上的浏览器。

基于Web的应用程序都允许用户上传某些类型的文件,如图像和视频,并有机制检查,以确保仅使用这些文件类型。但是,检查点研究人员已经找到了一种绕过这些验证并上传HTML文件的方法。此外,它们可以使这些文件模拟图像和视频,使它们对用户打开的可疑和更具吸引力。

由于在这些Web应用程序的上下文中执行的任何HTML代码都会在浏览器中继承它们的权限,因此攻击者可以使用此技术窃取这些应用程序的本地存储内容并将其上传到远程服务器。如果放在攻击者浏览器中,内容可能允许它们验证为目标用户。

这意味着攻击者可以获得对受害者的访问“消息历史和共享文件,并且甚至可以代表他们发送消息,可能会影响他们在蠕虫的攻击中的联系人。

检查点报告了3月8日对两家公司的漏洞。由于Web应用程序的代码直接从WhatsApp和电报服务器加载,因此用户不需要做任何事情来获取补丁。公司已修复服务器端的问题。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。