WhatsApp曝WEB电子名片漏洞 影响数亿用户

龙 宇 2016-7-27 最新资讯 0 0

  WhatsApp曝WEB电子名片漏洞 影响数亿用户

  安全公司Check Point发现,在全球拥有超过七亿用户的社交应用WhatsApp出现了一个web漏洞,多达两亿用户遭受影响。

  漏洞浅析

  Web版本的WhatsApp允许用户在PC机上进行访问,然而黑客利用该漏洞,可以在受害者电脑上执行任意代码。

  Check Point公司的安全研究员Kasif Dekel解释说,黑客利用该漏洞,发送一个包含恶意代码的电子名片给其他用户,就可以执行任意代码。

  黑客需要在发送的电子名片里name属性里注入命令字符串,用&分割。受害者的Windows会自动解析各种属性并组合起来,然后试图执行里面的内容,自然也可以执行注入的命令。

  这个漏洞主要在于Web版本的WhatsApp缺乏对发送名片格式的验证,让黑客可以在受害人机器上运行各类恶意软件,如远控和蠕虫等等。

  Dekel补充道:

  “通过截取和篡改发送给WhatsApp服务器的XMPP包,你就可以控制电子联系卡片的文件扩展名。”

  漏洞扩展

  Check Point的专家们补充说,黑客也可以使用一个简单的图标来利用这个漏洞:

  WhatsApp曝WEB电子名片漏洞 影响数亿用户

  这个简单的技巧实际上就是WhatsApp钓鱼,不过许多用户认识不到附件可能存在的恶意属性,因此这个漏洞可能影响到数以百万计的用户。

  Check Point上个月将这个漏洞报给了WhatsApp,厂商在WhatsApp Web v0.1.4481版本后修复了该漏洞。尽快更新你的WhatsApp吧!

原文地址:http://www.77169.com/news/HTML/20150910133000.shtm

转载请注明来自华盟网,本文标题:《WhatsApp曝WEB电子名片漏洞 影响数亿用户》

喜欢 (0) 发布评论