标签: WhatsApp

WhatsApp 新骗局曝光,可劫持用户账户

近日,CloudSEK 创始人 Rahul Sasi警告称,一个新的WhatsApp OTP 骗局正在被广泛利用,攻击者可以通过电话劫持用户的账户。 整个攻击过程极为简单,攻击者打电话给用户,诱导他们拨打以405或67开头的电话号码。一旦接通后,只需要几分钟用户就对账户失去了控制权,攻击者将会接管他们的账户。听起来这似乎有点不明所以,而Sasi也在Twitter 上解释了整个攻击场景,如下图所示: 攻击具体如何实现? 根据 Sasi 的说法,攻击者诱导用户拨打的电话号码是Jio 和 Airtel 在移动用户忙时进行呼叫转移的服务请求。因此当用户拨打了号码之后,实际上会转移到攻击者控制的号码,并迅速启动 WhatsApp 注册过程以获取受害者号码,要求通过电话发送OPT。 由于电话正忙,电话被定向到攻击者的电话,从而使他能够控制受害者的 WhatsApp 帐户。这就是攻击者在注销时获得对受害者 WhatsApp 帐户的控制权的方式。 尽管该骗局目前针对的是印度的 WhatsApp 用户,但 Sasi 解释说,如果黑客可以物理访问手机并使用此技巧拨打电话,攻击者可以破解任何人的 WhatsApp 帐户。 由于每个国家和服务提供商使用的服务请求编号都有些相似,因此这个技巧可能会产生全球影响。保护自己的唯一方法是避免接听来自未知号码的电话,并且不要相信他们拨打陌生号码。 WhatsApp多次遭攻击 同样是在2022年,安全研究人员发现,恶意攻击者在钓鱼活动中伪造了来自 WhatsApp 的语音信息通知,并且利用了合法的域名来传播恶意软件窃取信息。 云电子邮件安全公司 Armorblox 的研究人员发现了攻击者针对 Office 365 和 Google Workspace 账户进行攻击的恶意活动,在该活动中使用了与道路安全中心相关的域名来发送电子邮件,经调查该组织位于俄罗斯莫斯科地区。根据周二发表的一篇博客文章,该网站本身是合法的,它与莫斯科的国家道路安全有关,属于俄罗斯联邦内政部。 研究人员说,到目前为止,攻击者发送的邮件数量已经达到了 27660 个,该攻击活动通知受害者有一个来自 WhatsApp 聊天应用程序的 ” 新的私人语音邮件 “,并附加了一个链接,并声称允许他们播放该语音。研究人员说,攻击的目标组织包括医疗保健、教育和零售行业。 攻击者的诈骗策略包括在那些发送的电子邮件中获得用户信任来进行社会工程学攻击;通过伪造 WhatsApp 合法品牌,利用合法的域名来发送电子邮件。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/334842.html 封面来源于网络,如有侵权请联系删除

安全专家担忧欧盟 DMA 会破坏 WhatsApp 等应用的端到端加密

3 月 24 日,欧盟管理机构宣布《数字市场法案》(Digital Markets Act,简称DMA)已达成共识,将会对欧洲的大型科技公司进行全面的监管。作为一项具有深远影响的雄心勃勃的法律,该法案中最引人注目的措施将要求每个大型科技公司(在欧盟拥有超过 750 亿欧元的市值或超过 4500 万人的用户群)创造可与小型平台互操作的产品。 对于信息应用来说,这将意味着让 WhatsApp 这样的端到端加密服务与 SMS 这样不太安全的协议混在一起–安全专家担心这将破坏在信息加密领域来之不易的成果。 DMA的主要关注点是一类被称为“守门人”(gatekeepers)的大型科技公司,这类公司的定义是其受众或收入的规模,并延伸到他们能够对较小的竞争对手行使的结构性权力。通过新的法规,政府希望“开放”这些公司提供的一些服务,以允许小型企业参与竞争。这可能意味着让用户在 App Store 之外安装第三方应用程序,让外部卖家在亚马逊搜索中排名更靠前,或者要求消息应用程序在多个协议中发送文本。 但这可能会给承诺端到端加密的服务带来真正的问题:密码学家的共识是,如果不是不可能,也很难在应用程序之间保持加密,这可能会对用户产生巨大影响。Signal 受到影响很小,不会受到 DMA 条款的影响,但 WhatsApp–使用 Signal 协议并由 Meta 拥有–肯定会受到影响。其结果可能是,WhatsApp 的部分(如果不是全部)端到端信息加密被削弱或取消,使 10 亿用户失去了私人信息的保护。 鉴于需要精确地执行加密标准,专家们说,没有一个简单的解决方案可以调和加密信息服务的安全性和互操作性。知名互联网安全研究员、哥伦比亚大学计算机科学教授史蒂文-贝罗文(Steven Bellovin)说,实际上,没有办法将具有不同设计特点的应用程序的不同加密形式融合在一起。 Bellovin 说:“试图调和两种不同的加密架构根本不可能做到;一方或另一方将不得不做出重大改变。一个只有在双方都在线的情况下才能工作的设计与一个在存储信息的情况下工作的设计看起来会非常不同….。你如何使这两个系统互通有无?” Bellovin说,使不同的信息服务兼容可能会导致最低共同标准的设计方法,其中使某些应用程序对用户有价值的独特功能被剥离,直到达到一个共同的兼容性水平。例如,如果一个应用程序支持加密的多方通信,而另一个不支持,维持它们之间的通信通常需要放弃加密。 另外,DMA提出了另一种方法让隐私倡导者来说同样不满意:在两个加密方案不兼容的平台之间发送的信息在它们之间传递时被解密和重新加密,打破了”端到端”的加密链,为不良行为者的拦截创造了一个漏洞。 Muffett 表示:“这就像是你走进麦当劳,为了打破行业垄断现在要求你订单必须要有来自其他餐厅的寿司拼盘。当要求的寿司从表面上要求的寿司店通过快递到达麦当劳时,会发生什么?麦当劳能否以及是否应该向顾客提供这种寿司?快递员是合法的吗?它是安全准备的吗?” 目前,每个信息服务都对自己的安全负责–穆菲特和其他人认为,通过要求互操作性,一个服务的用户会暴露在可能由另一个服务引入的漏洞中。归根结底,整体安全只有在最薄弱的环节才是最强大的。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1252143.htm 封面来源于网络,如有侵权请联系删除

网络钓鱼盯上 WhatsApp 等即时通讯软件 卡巴斯基给出安全建议

鉴于许多黑客已经瞄上了 WhatsApp、Viber 和 Telegram 等即时通讯服务来开展网络钓鱼攻击和诈骗,卡巴斯基安全研究人员也特地对此类 Android 客户端的风险等级展开了一番评估。其指出,全球平均每天发生 480 次网络钓鱼和类似事件,前三地区为印度(7%)、巴西(17%)、以及俄罗斯(46%)。 作为最受智能机用户欢迎的即时通讯(IM)服务之一,涉及 WhatsApp 的网络犯罪活动也相当活跃(占 89.6% 左右)。 紧随其后的是 Telegram(5.6%)和 Viber(4.7%),而 Google Hangouts 用户最不可能成为网络钓鱼攻击的受害者(不到 1%)。 为降低 IM 用户遭遇网络钓鱼诈骗和危险链接的风险,卡巴斯基安全团队给出了如下建议: ● 检查链接中是否存在拼写错误或其它异常; ● 请勿向亲友分享任何可疑的邀请链接; ● 警惕来自其他人的不明邀请链接,在被要求输入凭据时务必提高警惕; ● 好友账户或被黑客入侵,收到熟人发来的链接和附件也需多加提防; ● 使用可靠的安全解决方案,以及时收到警告提醒。     (消息及封面来源:cnBeta)

WhatsApp 漏洞或已暴露用户的手机号码

某安全研究人员透露,WhatsApp 惊现一个允许在谷歌搜索引擎上暴露用户手机号码的 bug 。虽然不是所有用户的号码都被暴露,但这个问题还是引发了他们的关注。但若用户只与自己认识的 WhatsApp 用户交谈过(未使用过群组邀请链接),便有很大的几率不会受到本次漏洞的影响。   安全研究人员 Athul Jayaram 表示,WhatsApp 高管已经知晓了这个问题,但却对此无动于衷。据悉,该问题与今年早些时候推出的 WhatsApp 二维码功能有关。 WhatsApp 先前发布的群组邀请链接的工作方式,不同于新的二维码功能,但前者显然要更安全一些 —— 因为后者使用了未加密的 http://wa.me/ 短网址系统、且并未在链接中隐藏用户的电话号码。 当用户在新系统上分享二维码时,如果该网址被谷歌爬虫抓取,便极有可能被编入搜索引擎的索引结果中。如果你担心自己的号码也被意外收入,请通过 site:wa.me + 国家 / 地区代码的方式检索核实。 目前,如果通过 site:api.whatsapp.com 的方式检索,谷歌搜索引擎还会返回成千上万的检索结果。但除非 WhatsApp 高层正视该问题,否则此事的负面影响肯定还会持续。     (稿源:cnBeta,封面源自网络。)

因社交平台隐私问题 Twitter 和 WhatsApp 或面临欧洲制裁

Twitter以及Facebook旗下的WhatsApp又成了欧洲的攻击对象,围绕数据保护问题,欧洲很快就有可能会对美国科技巨头发起制裁。爱尔兰数据保护委员会称,针对Twitter数据泄露问题,5月22日确定一份草案,委员会呼吁欧盟其它国家在草案上签字同意。 委员会还说,在调查WhatsApp数据分享透明度时完成这份决定草案。按照要求,针对任何提出的制裁,Facebook服务必须发表评论,然后方便欧盟各国进行评估。 2018年5月,《通用数据保护条例》(General Data Protection Regulation,GDPR)正式生效,之后爱尔兰当局加大调查力度,但并没有给出最终决定。一些美国大型科技公司成为调查对象,包括Twitter、Facebook、谷歌、苹果,爱尔兰数据保护委员会是调查的主要倡导者。 如果发现企业严重违规,《通用数据保护条例》允许监管者处以年营收最高4%的罚款。法国监管机构之前曾向谷歌开出5000万欧元罚单,这是至今为止最大的数据保护罚单。 爱尔兰数据保护委员会还说,其它一些案件也取得进展,比如针对Facebook当地部门的尽职调查,委员会想知道Facebook是否为个人数据处理确立法律基础。     (稿源:新浪科技,封面源自网络。)

WhatsApp 桌面客户端曝出远程文件访问和代码执行漏洞

Facebook 刚刚修复了 WhatsApp 桌面平台中一个严重的安全漏洞,消除了允许攻击者从 Windows / Mac 上的本地文件系统中读取文件、甚至远程代码执行的隐患。该漏洞由安全研究人员 Gal Weizman 和 PerimeterX 共同发现,美国国家标准技术研究所(NIST)评估的严重等级为 8.2 。 早在 2017 年的时候,研究人员就已经发现过可更改他人回复文字的问题。Weizman 意识到,他可以利用富媒体制作以假乱真的消息,将目标重定向到他指定的位置。 安全研究人员进一步证实了此事,可以利用 JavaScript 达成一键式持久性跨站脚本攻击(XSS)。 最终绕过 WhatsApp 的 CPS 规则来增强攻击能力,甚至实现远程代码执行 经过一番挖掘,研究人员意识到这一切都是可行的。因为 Facebook 提供的 WhatsApp 桌面应用程序版本,正式基于过时的 Chrome 69 版本。 问题在 Chrome 78 正式推出时曝光,早几个版本中使用的 javascript 技俩的功能已得到修补。 若 WhatsApp 将其 Electron Web 应用程序从 4.1.4 更新到发现此漏洞时的最新版本(7.x.x),那 XSS 也将不复存在。 Facebook 表示,CVE-2019-18426 漏洞影响 0.3.9309 之前的 WhatsApp 桌面客户端、以及 2.20.10 之前的 iPhone 客户端。 有关漏洞的详情,还请移步至 Weizman 的 PerimeterX 博客文章中查看。   (稿源:cnBeta,封面源自网络。)  

Facebook 修复了 WhatsApp 中的漏洞,阻止黑客访问用户本地文件系统

Facebook 解决了 WhatsApp 中的一个严重漏洞(CVE-2019-18426),黑客可能利用该漏洞读取macOS 和Windows 操作系统的用户文件。 根据Facebook发布的安全公告,与iPhone端WhatsApp搭配使用时,WhatsApp Desktop中的一个漏洞允许跨站点脚本编写和本地文件读取。用户单击特制文字消息中的链接预览将会触发此漏洞。   Weizman在WhatsApp的内容安全策略(CSP)中发现了一个漏洞,使得黑客可以对进行跨站点脚本攻击(XSS),后续还发现黑客还可以利用此漏洞获得Windows和macOS 上WhatsApp应用文件的读取权限。 专家写道: “如果您运行的应用是易受攻击的旧版本,该漏洞将有可能对您造成不良影响。” “关于如何使用fetch()API,例如,可以从本地操作系统读取文件,例如本例中的C:\ Windows \ System32 \ drivers \ etc \ hosts文件的内容,” 该漏洞可能使黑客在消息中注入恶意代码和链接,这些消息和链接对于受害者是完全透明的。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

WhatsApp 存在新漏洞, 黑客可能秘密在你的设备上安装间谍软件

WhatsApp上个月悄悄修补了其应用程序中的一个关键漏洞,该漏洞可能使攻击者远程破坏目标设备并可能窃取存储在其中的安全聊天消息和文件。 旧的WhatsApp版本在解析MP4文件的基本流元数据的过程中会导致堆栈的缓冲区溢出。该漏洞(CVE-2019-11931)容易引发DoS攻击或远程执行代码的攻击。 如果想要远程利用此漏洞,攻击者需要的只是目标用户的电话号码,并通过WhatsApp向他们发送恶意制作的MP4文件,该文件最终可以在受感染的设备上静默安装恶意后门或间谍软件。 该漏洞影响所有主要平台(包括Google Android,Apple iOS和Microsoft Windows)的WhatsApp的消费者以及企业应用程序。 根据Facebook发布的报告,受影响的应用程序版本列表如下: 低于2.19.274的Android版本 低于2.19.100的iOS版本 低于2.25.3的企业客户端版本 包括2.18.368在内的Windows Phone版本 适用于Android 2.19.104之前版本的业务 适用于iOS 2.19.100之前版本的业务 目前,所有用户需要将WhatsApp更新至最新版本,并禁止从应用程序设置中自动下载图像,音频和视频文件。 WhatsApp告诉THN:“ WhatsApp一直在努力提高服务的安全性。我们针对已解决的潜在问题进行公开报告,并根据行业最佳实践进行了修复。在这种情况下,没有理由相信用户受到了影响。”   消息来源:TheHackerNews, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Facebook 和 WhatsApp 将向英国警方分享加密信息

讯 北京时间9月29日早间消息,据彭博社报道,知情人士透露,根据美英两国之间的一项新条约,包括Facebook和WhatsApp在内的美国社交媒体平台将被迫与英国警察分享用户的加密信息。 这位知情人士说,这项定于下个月签署的协议将迫使社交媒体公司分享信息,以支持对涉嫌恐怖主义等严重犯罪行为的个人进行调查。 英国内政大臣普里蒂·帕特尔(Priti Patel)此前曾警告称,Facebook允许用户发送端到端加密消息的计划将使罪犯受益,并呼吁社交媒体公司开发“后门”,使情报机构能够访问他们的消息平台。 作为该协议的一部分,英美已同意不对彼此的公民进行调查。在任何情况下,美国都无法使用从英国公司获得的信息执行死刑。   (稿源:,稿件以及封面源自网络。)

WhatsApp 曝出漏洞 导致以色列间谍软件入侵手机

北京时间5月14日早间消息,《金融时报》本周在一篇报道中详细介绍了WhatsApp的一个漏洞。该漏洞让攻击者可以将以色列间谍软件注入手机。这些恶意代码由以色列公司NSO Group开发,可以通过iOS和Android版WhatsApp呼叫其他用户来传播。 报道称,即使用户没有应答WhatsApp呼叫,恶意代码也可以传播。在许多情况下,这样的呼叫会从日志中清除。因此,许多用户在不知情的情况下就成为受害者。 目前有关该漏洞的细节尚不清楚。报道称,这个漏洞被发现已经有几周之久。 WhatsApp在公告中表示:“这次攻击具备一家私营公司的所有特征。该公司与政府合作,提供间谍软件,有报道称这些软件可以接管移动操作系统的许多功能。我们已向多家人权组织提供简报,分享我们可以提供的信息,并与他们合作告知民间社会。” 报道称,WhatsApp还处于调查起步阶段,目前无法估计有多少手机被攻击。WhatsApp在全球范围内有超过15亿用户。 WhatsApp已于上周向美国司法部报告了这个问题,并于周五开始在服务器端部署修复方案。为开发用户端的补丁,WhatsApp工程师一直加班到上周日。 NSO Group开发类似Pegasus的工具并推销给全球各国政府部门,作为打击恐怖主义和犯罪的一种手段。该公司在声明中表示,“不会也不能利用自己的技术瞄准任何个人或组织”。(张帆)   (稿源:,稿件以及封面源自网络。)