如果您认为即时通讯平台,如WhatsApp和Telegram,提供端到端加密,请为您提供摇滚稳固的安全性,再次思考。来自Cyber-Security公司Symantec的研究人员周一揭示了易行性,使黑客可以操纵在这些平台上收到的图像和音频文件。
Symantec研究人员在博客帖子中表示,安全漏洞,被称为Android的“媒体文件插入”,以及Android的电报。
根据研究人员,WhatsApp自动将文件保存到外部存储,而电报启用了“保存到图库”功能时。然而,任何应用程序都没有任何系统来保护用户免受媒体文件中攻击,来自赛门铁克的现代操作系统安全团队的研究人员解释。
攻击者可以以各种方式利用对诈骗受害者的这种脆弱性。
“如果利用安全缺陷,恶意攻击者可能会滥用和操纵敏感信息,如个人照片和视频,企业文档,发票和语音备忘录,”副总裁兼首席技术官副总裁兼首席技术官,现代操作系统安全,赛门铁克。
研究人员表示图像操纵的例子,但实际上是恶意的,用户下载的应用程序可以在近实时和没有受害者了解的个人照片。
该应用程序在后台运行,而受害者使用WhatsApp的同时执行“媒体文件删除攻击”。它显示通过应用程序收到的照片,识别照片中的面部,并用其他东西替换它们,例如其他面或对象。
“WhatsApp用户可以将家庭照片发送给他们的一个联系人,但收件人看到的是实际上是一个修改的照片。虽然这种攻击可能看起来微不足道,但只是令人讨厌,它表明了动手操纵图像的可行性,“博客帖子说。
使用相同的漏洞,攻击者可以进行支付操纵,音频消息欺骗或传播假新闻。
“在最损坏的媒体文件中的一个绝缘攻击之一中,恶意演员可以操纵供应商向客户发送的发票,以欺骗客户向非法账户付款,”GAT和Amit写道。
“鉴于常见的感知,介绍介质文件们尤其是常见的看法,即新一代IM(即时消息)应用程序对内容操纵和隐私风险的影响,相应于利用端到端加密, “他们补充道。
可以透露报告显示WhatsApp的音频调用功能中的错误允许黑客通过调用目标将间谍软件安装在Android和iOS电话上。据报道,Spyware由以色列网络智能公司NSO集团开发。
WhatsApp已表示它识别并“及时”修复了可以使攻击者能够在移动设备上插入和执行代码的漏洞。