世界熱議:安全漏洞允許黑客在用戶的智能手機上訪問后操縱媒體文件

根據(jù)網(wǎng)絡安全公司賽門鐵克的研究，WhatsApp和Telegram中的一個安全漏洞被稱為“媒體文件劫持”，它可能會導致惡意行為者在到達你的智能手機后干預和操縱媒體文件。

(資料圖片)

黑客如何劫持你的媒體文件？

鑒于E2E加密產(chǎn)生的轟動效應，這聽起來有些不切實際，但事實并非如此。在這種情況下，黑客利用了這兩個流行應用程序的工作方式。以下是安全漏洞如何讓黑客操縱您的媒體文件：

正如軟件工程師Alon Gat解釋的那樣，Android智能手機可以在兩個地方存儲數(shù)據(jù)——內(nèi)部和外部。雖然內(nèi)部存儲是安全的，因為它只能由應用程序訪問，但外部存儲不如保存到公共目錄安全，并且可以被其他應用程序或用戶修改。

并且在接收媒體文件并將其寫入磁盤和為用戶將它們加載到應用程序中之間存在時間差。

在此時間延遲期間，惡意黑客可以安裝惡意軟件，以便他們可以操縱接收到的媒體文件，甚至用他們選擇的媒體文件來替換它們。

“可以把它看作是攻擊者和加載文件的應用程序之間的競爭。如果攻擊者首先訪問文件——如果惡意軟件監(jiān)控公共目錄中的更改，這幾乎可以實時發(fā)生——接收者將會在之前看到被操縱的文件。此外，用戶看到的通知中顯示的縮略圖也將顯示被操縱的圖像或文件，因此收件人不會表明文件已被更改，”賽門鐵克在其博客中寫道。

令人擔憂的是，在WhatsApp上，這種攻擊不僅可以在發(fā)送媒體文件時開始，也就是說攻擊是在發(fā)送者的設備上開始的，還可以在接收媒體文件時開始，也就是說攻擊發(fā)生在接收設備上。

黑客能做什么？

黑客不僅可以操縱他們的圖像和音頻文件，還可以在獲得用戶媒體文件的權利時操縱他們的付款。根據(jù)賽門鐵克的博客，黑客可以在不知道黑客入侵的情況下，近乎實時地操縱你的個人照片。他們可以使用聲音重建技術來改變音頻信息。他們可以在電報頻道播放虛假新聞。最后，他們可以操縱供應商發(fā)送給客戶的發(fā)票，以欺騙他們支付非法賬戶。

誰容易受到這個漏洞的影響？

默認情況下，這個缺陷會影響WhatsApp for Android，但當某些功能被啟用時，會影響Android Telegram。

有什么辦法可以減輕這個缺陷的影響？

賽門鐵克已經(jīng)將媒體文件存儲漏洞通知了Telegram和臉書。當他們試圖修復這個漏洞時，用戶可以采取一些預防措施來減輕這個缺陷的影響。雖然WhatsApp用戶可以在聊天設置中切換媒體可見性選項，使他們收到的新媒體文件不會默認保存到手機的圖庫中，但Telegram用戶可以在聊天設置中切換保存到圖庫選項。