恶意上传允许劫持WhatsApp和电报帐户
2021-08-08 16:44:03 [来源]:
在基于Web的加密通信服务中修补的漏洞WhatsApp和电报将允许攻击者通过向伪装为图像或视频的用户恶意文件来接管帐户。
该漏洞是通过检查点软件技术的研究人员发现的漏洞,并在该公司私下分享漏洞的详细信息后由WhatsApp和电报开发商进行修补。
WheSApp和Telegram的基于Web的版本将自动同步,使用用户上安装的应用程序“电话。至少在WhatsApp的情况下,一旦使用QR码配对,手机需要具有活动的Internet连接,用于将消息中继到计算机上的浏览器。
基于Web的应用程序都允许用户上传某些类型的文件,如图像和视频,并有机制检查,以确保仅使用这些文件类型。但是,检查点研究人员已经找到了一种绕过这些验证并上传HTML文件的方法。此外,它们可以使这些文件模拟图像和视频,使它们对用户打开的可疑和更具吸引力。
由于在这些Web应用程序的上下文中执行的任何HTML代码都会在浏览器中继承它们的权限,因此攻击者可以使用此技术窃取这些应用程序的本地存储内容并将其上传到远程服务器。如果放在攻击者浏览器中,内容可能允许它们验证为目标用户。
这意味着攻击者可以获得对受害者的访问“消息历史和共享文件,并且甚至可以代表他们发送消息,可能会影响他们在蠕虫的攻击中的联系人。
检查点报告了3月8日对两家公司的漏洞。由于Web应用程序的代码直接从WhatsApp和电报服务器加载,因此用户不需要做任何事情来获取补丁。公司已修复服务器端的问题。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。