聯絡人資訊勿亂點,WhatsApp 網頁版漏洞威脅 2 億用戶

作者 | 發布日期 2015 年 09 月 13 日 0:00 | 分類 app , 網路 , 資訊安全 follow us in feedly
Unwire Pro 配圖

早前 Unwire.hk 曾報導過 Facebook 和 WhatsApp 網頁版的「偷 Key」安全漏洞,近日又有安全研究人員發現 WhatsApp 網頁版潛藏危險漏洞,更指宣布每月有 9 億活躍用戶的 WhatsApp 可能有 2 億用戶已處於風險中。



WhatsApp 網頁版早於今年年初推出,上月正式開放給 iPhone 用戶使用,受到不少用戶歡迎。新發現的漏洞可被駭客輕易利用,欺騙用戶下載惡意程式到電腦中而且難以察覺。

 

漏洞利用門檻低,點開聯絡人資訊隨時中招

安全研究人員 Kasif Dekel 指,WhatsApp 網頁版同樣俱備傳送圖片、音效、位置和聯絡人資訊等功能,而駭客正是利用這些功能,來散布惡意程式感染用戶的電腦。

今次發現的安全漏洞非常容易利用,駭客只需要一個有效的 WhatsApp 帳號,然後將 BAT 檔案偽裝成電子名片(vCard)發送給任意對象,當對方在網頁版中點擊察看時,就會暗中運行 BAT 檔案內的惡意程式碼,感染用戶的電腦。

whatsApp BAT vCard_unwire.pro0911

透過這種方式,駭客可以安裝遙距操控軟件,控制用家的電腦;利用勒索軟體威脅用戶付錢才解鎖電腦;或者是暗中監視用戶電腦的資料和活動,以及利用感染的電腦繼續散播惡意程式等惡意行為。

幸好目前 WhatsApp 安全團隊已經確認該安全漏洞並針對網頁版釋出更新修復,但 V0.1.4881 之前的所有版本均受漏洞影響,WhatsApp 呼籲用戶應確保自己使用最新版本程式避免風險。

(本文由 Unwire Pro 授權轉載) 

發表迴響