又有通訊軟體被攻擊?WhatsApp驚傳漏洞 駭客用惡意GIF檔控制帳號

匯流新聞網記者紀沈廷/綜合報導

有點好奇,現在有哪個通訊軟體是真的安全、沒被攻擊過的嗎?雖然台灣人可能還是習慣用Line,但在全球市佔率最高的聊天手機應用程式,還是WhatsApp;不過這個將近有89%人口使用的軟體,最近傳出安全漏洞,只要用戶使用了惡意的GIF檔,駭客就會輕鬆接管用戶手機。

近日,一位暱稱為「Awakened」的新加坡資安專家,揭露了WhatsApp上的一個安全漏洞,這個只存在於Android版WhatsApp程式上的漏洞,只要遭到開採,就會允許駭客執行阻斷服務攻擊或進行遠端程式,波及到的用戶將是以幾億來計算。目前WhatsApp已經在上個月釋出WhatsApp 2.19.244來修補該漏洞。

這個漏洞編號名為CVE-2019-11932,為一記憶體重複釋放(double-free)漏洞,可造成程式當掉或衍生出遠端程式攻擊,藏匿在WhatsApp Gallery功能中。

根據Awakened的說法,駭客會先藉由任何管道傳送一個圖像給WhatsApp用戶,當使用者打算跟親友分享該圖片、並啟用WhatsApp Gallery時,WhatsApp Gallery就會秀出所有存在於Gallery的媒體,而這時就會觸發上述的CVE-2019-11932漏洞。

最糟糕的是,如果用戶的Android手機本身已經有惡意程式,還可以藉由該漏洞來擴張權限,除了可以竊取WhatsApp的訊息資料庫,還可以配合其他程式的安全漏洞,來進行遠端程式攻擊。

另外,相關的攻擊適用在Android 8.1與Android 9.0的WhatsApp程式,但若採用更舊的Android版本,那麼頂多就只會造成程式當掉。目前WhatsApp已在上個月修補CVE-2019-11932漏洞,也對外表示並未收到任何攻擊報告。

事實上,WhatsApp今年也曾傳出有過其他漏洞;像是今年8月,有以色列網路資訊安全公司發現,駭客能夠藉由幾種方式來監控WhatsApp用戶聊天內容,甚至可以進行竄改;他們發現駭客有3種方式來改變內容:首先是用群組對話quote功能改必發送者身分,有點類似通訊軟體聊天中的@某人某句回覆;其二則是變更其他人發表內容;最後則是能一對一私訊偽裝成群組訊息,發訊息給群組某個人,用戶的回覆就會直接被群組所有人看到。

還有今年5月,間諜軟體公司NSO開發了一個間諜軟體,藉由WhatsApp的漏洞,只要駭客撥打電話,就能在受害者的手機中植入間諜軟體,能夠自動刪除通話紀錄,而且完全不會留下痕跡。

參考來源:Forbes、TNW

照片來源:pixabay

更多匯流新聞網報導:

Android系統驚傳漏洞!手機恐被駭客監控 Google公布14款手機清單

Instagram再傳資安疑慮 安全漏洞恐讓用戶電話、姓名全外洩

【匯流筆陣】

CNEWS歡迎各界投書,來稿請寄至cnewscom2016@gmail.com,並請附上真實姓名、聯絡方式與職業身份簡介。
google:Google公司,官方中文譯名為谷歌,是一家美國的跨國科技企業,致力於網際網路搜尋、雲端運算、廣告技術等領域,開發並提供大量基於網際網路的產品與服務,其主要利潤來自於AdWords等廣告服務。 ...更多

行動版 電腦版