标签: WhatsApp

WhatsApp 漏洞或已暴露用户的手机号码

某安全研究人员透露,WhatsApp 惊现一个允许在谷歌搜索引擎上暴露用户手机号码的 bug 。虽然不是所有用户的号码都被暴露,但这个问题还是引发了他们的关注。但若用户只与自己认识的 WhatsApp 用户交谈过(未使用过群组邀请链接),便有很大的几率不会受到本次漏洞的影响。   安全研究人员 Athul Jayaram 表示,WhatsApp 高管已经知晓了这个问题,但却对此无动于衷。据悉,该问题与今年早些时候推出的 WhatsApp 二维码功能有关。 WhatsApp 先前发布的群组邀请链接的工作方式,不同于新的二维码功能,但前者显然要更安全一些 —— 因为后者使用了未加密的 http://wa.me/ 短网址系统、且并未在链接中隐藏用户的电话号码。 当用户在新系统上分享二维码时,如果该网址被谷歌爬虫抓取,便极有可能被编入搜索引擎的索引结果中。如果你担心自己的号码也被意外收入,请通过 site:wa.me + 国家 / 地区代码的方式检索核实。 目前,如果通过 site:api.whatsapp.com 的方式检索,谷歌搜索引擎还会返回成千上万的检索结果。但除非 WhatsApp 高层正视该问题,否则此事的负面影响肯定还会持续。     (稿源:cnBeta,封面源自网络。)

因社交平台隐私问题 Twitter 和 WhatsApp 或面临欧洲制裁

Twitter以及Facebook旗下的WhatsApp又成了欧洲的攻击对象,围绕数据保护问题,欧洲很快就有可能会对美国科技巨头发起制裁。爱尔兰数据保护委员会称,针对Twitter数据泄露问题,5月22日确定一份草案,委员会呼吁欧盟其它国家在草案上签字同意。 委员会还说,在调查WhatsApp数据分享透明度时完成这份决定草案。按照要求,针对任何提出的制裁,Facebook服务必须发表评论,然后方便欧盟各国进行评估。 2018年5月,《通用数据保护条例》(General Data Protection Regulation,GDPR)正式生效,之后爱尔兰当局加大调查力度,但并没有给出最终决定。一些美国大型科技公司成为调查对象,包括Twitter、Facebook、谷歌、苹果,爱尔兰数据保护委员会是调查的主要倡导者。 如果发现企业严重违规,《通用数据保护条例》允许监管者处以年营收最高4%的罚款。法国监管机构之前曾向谷歌开出5000万欧元罚单,这是至今为止最大的数据保护罚单。 爱尔兰数据保护委员会还说,其它一些案件也取得进展,比如针对Facebook当地部门的尽职调查,委员会想知道Facebook是否为个人数据处理确立法律基础。     (稿源:新浪科技,封面源自网络。)

WhatsApp 桌面客户端曝出远程文件访问和代码执行漏洞

Facebook 刚刚修复了 WhatsApp 桌面平台中一个严重的安全漏洞,消除了允许攻击者从 Windows / Mac 上的本地文件系统中读取文件、甚至远程代码执行的隐患。该漏洞由安全研究人员 Gal Weizman 和 PerimeterX 共同发现,美国国家标准技术研究所(NIST)评估的严重等级为 8.2 。 早在 2017 年的时候,研究人员就已经发现过可更改他人回复文字的问题。Weizman 意识到,他可以利用富媒体制作以假乱真的消息,将目标重定向到他指定的位置。 安全研究人员进一步证实了此事,可以利用 JavaScript 达成一键式持久性跨站脚本攻击(XSS)。 最终绕过 WhatsApp 的 CPS 规则来增强攻击能力,甚至实现远程代码执行 经过一番挖掘,研究人员意识到这一切都是可行的。因为 Facebook 提供的 WhatsApp 桌面应用程序版本,正式基于过时的 Chrome 69 版本。 问题在 Chrome 78 正式推出时曝光,早几个版本中使用的 javascript 技俩的功能已得到修补。 若 WhatsApp 将其 Electron Web 应用程序从 4.1.4 更新到发现此漏洞时的最新版本(7.x.x),那 XSS 也将不复存在。 Facebook 表示,CVE-2019-18426 漏洞影响 0.3.9309 之前的 WhatsApp 桌面客户端、以及 2.20.10 之前的 iPhone 客户端。 有关漏洞的详情,还请移步至 Weizman 的 PerimeterX 博客文章中查看。   (稿源:cnBeta,封面源自网络。)  

Facebook 修复了 WhatsApp 中的漏洞,阻止黑客访问用户本地文件系统

Facebook 解决了 WhatsApp 中的一个严重漏洞(CVE-2019-18426),黑客可能利用该漏洞读取macOS 和Windows 操作系统的用户文件。 根据Facebook发布的安全公告,与iPhone端WhatsApp搭配使用时,WhatsApp Desktop中的一个漏洞允许跨站点脚本编写和本地文件读取。用户单击特制文字消息中的链接预览将会触发此漏洞。   Weizman在WhatsApp的内容安全策略(CSP)中发现了一个漏洞,使得黑客可以对进行跨站点脚本攻击(XSS),后续还发现黑客还可以利用此漏洞获得Windows和macOS 上WhatsApp应用文件的读取权限。 专家写道: “如果您运行的应用是易受攻击的旧版本,该漏洞将有可能对您造成不良影响。” “关于如何使用fetch()API,例如,可以从本地操作系统读取文件,例如本例中的C:\ Windows \ System32 \ drivers \ etc \ hosts文件的内容,” 该漏洞可能使黑客在消息中注入恶意代码和链接,这些消息和链接对于受害者是完全透明的。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

WhatsApp 存在新漏洞, 黑客可能秘密在你的设备上安装间谍软件

WhatsApp上个月悄悄修补了其应用程序中的一个关键漏洞,该漏洞可能使攻击者远程破坏目标设备并可能窃取存储在其中的安全聊天消息和文件。 旧的WhatsApp版本在解析MP4文件的基本流元数据的过程中会导致堆栈的缓冲区溢出。该漏洞(CVE-2019-11931)容易引发DoS攻击或远程执行代码的攻击。 如果想要远程利用此漏洞,攻击者需要的只是目标用户的电话号码,并通过WhatsApp向他们发送恶意制作的MP4文件,该文件最终可以在受感染的设备上静默安装恶意后门或间谍软件。 该漏洞影响所有主要平台(包括Google Android,Apple iOS和Microsoft Windows)的WhatsApp的消费者以及企业应用程序。 根据Facebook发布的报告,受影响的应用程序版本列表如下: 低于2.19.274的Android版本 低于2.19.100的iOS版本 低于2.25.3的企业客户端版本 包括2.18.368在内的Windows Phone版本 适用于Android 2.19.104之前版本的业务 适用于iOS 2.19.100之前版本的业务 目前,所有用户需要将WhatsApp更新至最新版本,并禁止从应用程序设置中自动下载图像,音频和视频文件。 WhatsApp告诉THN:“ WhatsApp一直在努力提高服务的安全性。我们针对已解决的潜在问题进行公开报告,并根据行业最佳实践进行了修复。在这种情况下,没有理由相信用户受到了影响。”   消息来源:TheHackerNews, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Facebook 和 WhatsApp 将向英国警方分享加密信息

讯 北京时间9月29日早间消息,据彭博社报道,知情人士透露,根据美英两国之间的一项新条约,包括Facebook和WhatsApp在内的美国社交媒体平台将被迫与英国警察分享用户的加密信息。 这位知情人士说,这项定于下个月签署的协议将迫使社交媒体公司分享信息,以支持对涉嫌恐怖主义等严重犯罪行为的个人进行调查。 英国内政大臣普里蒂·帕特尔(Priti Patel)此前曾警告称,Facebook允许用户发送端到端加密消息的计划将使罪犯受益,并呼吁社交媒体公司开发“后门”,使情报机构能够访问他们的消息平台。 作为该协议的一部分,英美已同意不对彼此的公民进行调查。在任何情况下,美国都无法使用从英国公司获得的信息执行死刑。   (稿源:,稿件以及封面源自网络。)

WhatsApp 曝出漏洞 导致以色列间谍软件入侵手机

北京时间5月14日早间消息,《金融时报》本周在一篇报道中详细介绍了WhatsApp的一个漏洞。该漏洞让攻击者可以将以色列间谍软件注入手机。这些恶意代码由以色列公司NSO Group开发,可以通过iOS和Android版WhatsApp呼叫其他用户来传播。 报道称,即使用户没有应答WhatsApp呼叫,恶意代码也可以传播。在许多情况下,这样的呼叫会从日志中清除。因此,许多用户在不知情的情况下就成为受害者。 目前有关该漏洞的细节尚不清楚。报道称,这个漏洞被发现已经有几周之久。 WhatsApp在公告中表示:“这次攻击具备一家私营公司的所有特征。该公司与政府合作,提供间谍软件,有报道称这些软件可以接管移动操作系统的许多功能。我们已向多家人权组织提供简报,分享我们可以提供的信息,并与他们合作告知民间社会。” 报道称,WhatsApp还处于调查起步阶段,目前无法估计有多少手机被攻击。WhatsApp在全球范围内有超过15亿用户。 WhatsApp已于上周向美国司法部报告了这个问题,并于周五开始在服务器端部署修复方案。为开发用户端的补丁,WhatsApp工程师一直加班到上周日。 NSO Group开发类似Pegasus的工具并推销给全球各国政府部门,作为打击恐怖主义和犯罪的一种手段。该公司在声明中表示,“不会也不能利用自己的技术瞄准任何个人或组织”。(张帆)   (稿源:,稿件以及封面源自网络。)

WhatsApp 曝安全漏洞 一个视频电话就能被黑

讯 北京时间10月10日晚间消息,Facebook旗下消息服务WhatsApp日前曝出一项安全漏洞,当用户接听视频呼叫时,黑客即可控制用户的这款应用。 谷歌研究人员特拉维斯·奥曼迪(Travis Ormandy)在今年8月底发现了该漏洞,影响Android和iOS版本的WhatsApp应用。由于Facebook已在本月初发布了补丁程序,并修复了该漏洞,奥曼迪才公开该漏洞。 奥曼迪在Twitter上称:“用户只要发送一个视频通话邀请,如果用户接听,即可完全控制其WhatsApp。” 目前,Facebook尚未对此发表评论,也不清楚该漏洞在修复之前是否被黑客利用过。 但今年,Facebook已经被安全相关的问题弄得焦头烂额。继今年3月份的8700万用户信息被非法共享事件后,Facebook上月底又宣布,Facebook的“View As”(访客视图)功能存在缺陷,允许黑客获取访问权限,从而控制用户账号,受该漏洞影响的账号数量高达5000万个。   稿源:,稿件以及封面源自网络;

Google Play 商店自检测系统无效,逾 100 万安卓用户不幸下载冒牌 WhatsApp 应用

据外媒 Reddit 于 11 月 4 日报道,安全研究人员 Dexter Genius 近期发现黑客利用官方 Google Play 商店作为恶意软件存储仓库、部署冒牌 WhatsApp 应用。目前,已有超过 100 万的安卓用户下载使用。研究人员表示,这似乎又是谷歌自动检测系统失败的一次例证。 左边是冒牌的 WhatsApp 应用,右边是合法的 WhatsApp 应用 据悉,研究人员在对该款冒牌的恶意应用进行反编译后发现它是一个广告加载的包装器,其中包括了下载另一安卓应用程序包(apk)的代码。值得注意的是,第二款相关联的恶意应用试图隐藏自己,因此它不仅没有名称,而且还使用了一个空白的图标进行伪装。 调查显示,这个冒牌的应用似乎由合法的 WhatsApp 公司开发,但仔细观察后发现开发人员在名字的末尾添加了两个字节(0xC2 0xA0),使其最终形成一个隐藏空间。然而,最令人难以置信的是,该黑客所开发的这款应用竟能绕过谷歌安全检测感染超过一百万设备。 目前,该款冒牌应用已被谷歌官方应用商店删除。其相关人员透露,尽管 Google 已经付出很大的努力,但谷歌在其官方应用商店上部署的自动检测系统仍然无效。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

流行移动消息应用 WhatsApp 遭到屏蔽

流行移动消息应用 WhatsApp 遭屏蔽,它曾是 Facebook 旗下唯一能在中国访问的服务。7 月中旬,WhatsApp 的视频语音聊天和照片服务遭到屏蔽,但文字消息服务还能工作,数周后又短暂解除了对视频语音聊天和照片共享服务的封锁,如今包括文字消息在内的所有服务都遭到屏蔽。 服务中断从上周三开始出现,本周一基本上全方面封锁,香港中文大学的互联网通信专家 Lokman Tsui 称,可能有少数用户仍然能使用这项服务。Facebook 拒绝置评,公司 CEO 此前曾多次努力重新进行中国。 稿源:solidot奇客,封面源自网络;