如何利用一张图片入侵WhatsApp和Telegram账户

下次要是有人在WhatsApp或Telegram上发给你一张小萌猫的图片时要特别小心，因为点击一下就可能让你的账户几秒内遭入侵。

WhatsApp和Telegram已经修复了这个仅通过点击图片就轻松入侵用户账户的漏洞。它仅影响基于浏览器的 WhatsApp和Telegram版本，手机app用户不受影响。

Checkpoint公司的安全研究人员表示，漏洞的原因是这两家服务在处理图像和多媒体文件时并没有验证其中是否隐藏了恶意代码。

要利用这个漏洞，攻击者需要做的不过是将恶意代码隐藏在看似无害的图像中。一旦用户点击了图像，攻击者就能获取受害者存储数据的访问权限。最终攻击者能够在任何浏览器中获取对用户账户的访问权限、查看并控制聊天会话、访问受害者的个人和群聊信息、图片、视频、音频、其它共享文件夹以及通讯录等。

为了传播攻击，攻击者随后会将带有恶意软件的图像发给受害者通讯录列表中的所有人，也就是说一个账户被劫持就有可能导致无数其它账户被攻陷。

为何漏洞未被检测出来？

WhatsApp和Telegram对信息都使用了端对端加密方法以确保除了发送人和收信人任何其它人都无法读取信息。然而，成也萧何败萧何，这也是漏洞产生的源头。

由于信息是由发送人员加密的，WhatsApp和Telegram无法知道恶意代码被发送给了收件人，因此也就无法阻止内容的运行。由于信息没有经过验证就被加密，WhatsApp和Telegram并不知道内容是什么，这样也就无法阻止恶意内容被发送出去。

目前漏洞已被修复。因为修复方案应用在服务器端，因此用户无需更新app，只需要重启浏览器即可。

本文由测腾代码卫士编译，不代表测腾观点，转载请注明“转自测腾代码卫士www.codesafe.cn”。