据BleepingComputer消息，全球拥有20亿用户的即时通讯工具 WhatsApp最近修复了一个十分重要的隐私漏洞，该漏洞能允许攻击者多次查看用户发送的“阅后即焚”（View once）内容。 WhatsApp的“阅后即焚”于3年前推出，允许用户发送只能浏览一次的照片、视频和语音消息，且接收者无法转发、分享、复制或截取消息。 但这其中有一个Bug，Zengo X 研究团队发现，“阅后即焚” 功能可用于向收件人的所有设备发送加密媒体消息，包括桌面端，即使这些消息在桌面端无法显示。 这些消息与普通消息几乎完全相同，但包含一个指向 WhatsApp 网络服务器（”blob store”）托管的加密数据 URL 以及解密密钥。 研究人员称，这些消息在下载后不会立即从 WhatsApp 的服务器中删除，且某些版本的“阅后即焚 ”消息还包含无需下载即可查看的低质量预览。 此外，“阅后即焚 ”消息与常规消息类似，但带有一个“View once”值为“true”的标记，攻击者仅需将“true”改为“false”，就可绕过此隐私功能 ，下载、转发和共享这些“阅后即焚 ”消息。 Zengo X 据称是第一个向 WhatsApp母公司Meta 详细报告这一漏洞的组织，但在此之前该漏洞可能至少 已经暴露了1年。BleepingComputer甚至已观察到两款谷歌浏览器插件（其中一个已于 2023 年发布）能够便捷地实现反复查看并共享“阅后即焚 ”消息。 目前Meta已表示对漏洞进行了修复，但这背后所反映出的更深层次问题也引发了人们的忧虑，即这些科技巨头所谓的为用户着想的隐私措施可能仅仅是个”空壳“，其本质上仍然漏洞百出。   转自Freebuf，原文链接：https://www.freebuf.com/news/410675.html 封面来源于网络，如有侵权请联系删除

据Cybernews报道，有黑客正在地下论坛出售近5亿WhatsApp用户的最新手机号码，而通过检验数据库样本，这些数据极有可能是真实数据。 11月16日，一名黑客在著名黑客社区论坛上发布了一则广告，声称出售WhatsApp 2022年数据库，库内包含4.87亿用户手机号码。 公开数据显示，WhatsApp在全球拥有超过20亿月活跃用户。据称，该数据库包含84个国家的WhatsApp用户数据。威胁行动者称其中包含3200万美国用户、4500万埃及用户、3500万意大利用户、2900万沙特阿拉伯用户、2000万法国用户、2000万土耳其用户信息；还包含近1000万俄罗斯公民和1100多万英国公民的电话号码。 Cybernews的研究人员联系WhatsApp数据库卖家，得到了一份数据样本。样本中有1097个英国和817个美国用户号码。卖家没有具体说明数据库的获得方法，暗示使用了一些策略来收集数据，并保证数据库中所有号码是WhatsApp活跃用户。 WhatsApp母公司Meta对此不予置评。Meta长期以来因允许第三方收集用户数据而受到批评。通常情况下，发布在网上的大量数据转储是通过抓取获得的，此举违反了WhatsApp的服务条款。某黑客论坛上存在超过5.33亿WhatsApp用户纪录的泄露，下载数据库几乎免费。 除了WhatsApp大规模数据泄露，一份据称包含5亿领英用户资料的数据库被挂上黑客论坛出售。泄露的电话号码可能被用于广告营销、网络钓鱼、假冒和欺诈。 “在这个时代，我们都留下了庞大的数字轨迹，像Meta这样的科技巨头应该采取一切预防措施和手段来保护这些数据，”Cybernews研究团队负责人曼塔斯·萨纳乌斯卡斯表示。“应该采取严格的措施来应对威胁，并从技术角度防止平台被滥用。” 转自 Freebuf，原文链接：https://www.freebuf.com/articles/database/350756.html 封面来源于网络，如有侵权请联系删除

WhatsApp在全球拥有20多亿月度活跃用户，是世界上最受欢迎的移动信息应用。但竞争对手Telegram的创始人认为人们应该远离Meta的产品，他称其是一个不断存在安全问题的监视工具。 当地时间周四，Pavel Durov在他的Telegram频道中写道，人们应该使用他们喜欢的任何消息应用，但一定要远离WhatsApp–因为它现在已经成为一个监视工具13年了。 Durov指的是上周在WhatsApp中发现的两个安全问题，这些问题可能允许在特定设备上远程执行代码。黑客只需要跟受害者建立视频通话或向他们发送一个专门制作的视频文件即可。此后，WhatsApp发布了安全更新以解决这些漏洞。 这位现在自我流放的俄罗斯人指出，即使将WhatsApp升级到最新版本也不能完全保证安全。他指出，在2017年、2018年、2019年和2020年都发现了跟最近的补丁相同的安全问题。另外他还指出，WhatsApp在2016年之前并没有端到端的加密功能。 “黑客可以完全访问WhatsApp用户手机上的一切，”Durov写道，“每年我们都会了解到WhatsApp的一些问题，从而使他们的用户设备上的一切都处于危险之中。” Durov指出，这些安全问题不是偶然的，而是被植入了后门，每当发现和删除以前的后门就会增加一个新的后门。“如果你是地球上最富有的人，这并不重要–如果你的手机上安装了WhatsApp，那么你的设备上的每一个应用的所有数据都可以访问。” 这句“地球上最富有的人”指的是前世界首富杰夫·贝佐斯。这位亚马逊创始人的手机在2018年通过一条据称来自沙特王储穆罕默德-本-萨勒曼账户的WhatsApp视频信息被黑。 很容易想象Durov贬低WhatsApp以吸引更多用户到他的平台。但这位CEO指出，Telegram的7亿活跃用户和200万日注册用户意味着这项注重隐私的服务不需要任何额外的宣传。 当被问及Durov的说法时，Meta的一位发言人告诉媒体：“这完全是胡说八道。” Meta并不是第一个面临Durov批评的科技巨头。他还称在2021年抨击过苹果，称其销售来自“中世纪”的“价格过高、过时的硬件”。最近，他有称库比蒂诺通过不更新WebKit来故意削弱网络应用。 除了安全漏洞之外，WhatsApp还面临着大量关于其侵犯用户隐私的指控，包括有争议的Facebook数据共享政策。去年，它还因违反GDPR而被处以创纪录的2.67亿美元的罚款。     转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1325013.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 与流行智能手机品牌相关的廉价安卓设备型号是假冒版本，其中包含多个特洛伊木马，旨在攻击WhatsApp和WhatsApp Business消息传递应用程序。 Doctor Web于2022年7月首次发现的特洛伊木马，是在至少四款不同智能手机的系统分区中发现的：P48pro、radmi note 8、Note30u和Mate40。 这家网络安全公司在8月22日发布的一份报告中表示：“这些事件是由于被攻击的设备是著名品牌型号的仿冒品而造成的。此外，他们没有安装最新的操作系统版本，而是使用了早已过时的4.4.2版本，并在设备详细信息中显示相应的信息（例如，Android 10）。” 具体来说，篡改涉及两个文件“/system/lib/libcutils.so”和“/system/lib/libmtd.so”，它们被修改为当任何应用程序使用libcutils.so系统库时，它就会触发包含在libmtd.so中的特洛伊木马的执行。 如果使用这些库的应用程序是WhatsApp和WhatsApp Business，libmtd.so会继续启动第三个后门，其主要职责是从远程服务器下载附加插件并将其安装到受损设备上。 研究人员说：“被发现的后门及其下载的模块的危险在于，它们的运行方式会成为目标应用程序的一部分。因此，他们可以访问受攻击应用程序的文件，并可以阅读聊天记录、发送垃圾邮件、拦截和监听电话，以及执行其他恶意操作，具体取决于下载模块的功能。” 另一方面，如果使用这些库的应用程序是wpa_supplicant（用于管理网络连接的系统守护进程），libmtd.so则被配置为启动本地服务器，该服务器允许通过“mysh”控制台从远程或本地客户端进行连接。 基于在负责无线固件更新的系统应用程序中嵌入的另一个特洛伊木马的发现，Doctor Web推测系统分区植入可能是FakeUpdates（又名SocGholish）恶意软件家族的一部分。 就其本身而言，流氓应用程序旨在通过Lua脚本泄露有关受感染设备的详细元数据，并在用户不知情的情况下下载和安装其他软件。 为了避免成为此类恶意软件攻击的受害者，建议用户仅从官方商店和合法经销商处购买移动设备。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

近日，CloudSEK 创始人 Rahul Sasi警告称，一个新的WhatsApp OTP 骗局正在被广泛利用，攻击者可以通过电话劫持用户的账户。 整个攻击过程极为简单，攻击者打电话给用户，诱导他们拨打以405或67开头的电话号码。一旦接通后，只需要几分钟用户就对账户失去了控制权，攻击者将会接管他们的账户。听起来这似乎有点不明所以，而Sasi也在Twitter 上解释了整个攻击场景，如下图所示： 攻击具体如何实现？ 根据 Sasi 的说法，攻击者诱导用户拨打的电话号码是Jio 和 Airtel 在移动用户忙时进行呼叫转移的服务请求。因此当用户拨打了号码之后，实际上会转移到攻击者控制的号码，并迅速启动 WhatsApp 注册过程以获取受害者号码，要求通过电话发送OPT。 由于电话正忙，电话被定向到攻击者的电话，从而使他能够控制受害者的 WhatsApp 帐户。这就是攻击者在注销时获得对受害者 WhatsApp 帐户的控制权的方式。 尽管该骗局目前针对的是印度的 WhatsApp 用户，但 Sasi 解释说，如果黑客可以物理访问手机并使用此技巧拨打电话，攻击者可以破解任何人的 WhatsApp 帐户。 由于每个国家和服务提供商使用的服务请求编号都有些相似，因此这个技巧可能会产生全球影响。保护自己的唯一方法是避免接听来自未知号码的电话，并且不要相信他们拨打陌生号码。 WhatsApp多次遭攻击 同样是在2022年，安全研究人员发现，恶意攻击者在钓鱼活动中伪造了来自 WhatsApp 的语音信息通知，并且利用了合法的域名来传播恶意软件窃取信息。 云电子邮件安全公司 Armorblox 的研究人员发现了攻击者针对 Office 365 和 Google Workspace 账户进行攻击的恶意活动，在该活动中使用了与道路安全中心相关的域名来发送电子邮件，经调查该组织位于俄罗斯莫斯科地区。根据周二发表的一篇博客文章，该网站本身是合法的，它与莫斯科的国家道路安全有关，属于俄罗斯联邦内政部。 研究人员说，到目前为止，攻击者发送的邮件数量已经达到了 27660 个，该攻击活动通知受害者有一个来自 WhatsApp 聊天应用程序的 ” 新的私人语音邮件 “，并附加了一个链接，并声称允许他们播放该语音。研究人员说，攻击的目标组织包括医疗保健、教育和零售行业。 攻击者的诈骗策略包括在那些发送的电子邮件中获得用户信任来进行社会工程学攻击；通过伪造 WhatsApp 合法品牌，利用合法的域名来发送电子邮件。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/334842.html 封面来源于网络，如有侵权请联系删除

3 月 24 日，欧盟管理机构宣布《数字市场法案》（Digital Markets Act，简称DMA）已达成共识，将会对欧洲的大型科技公司进行全面的监管。作为一项具有深远影响的雄心勃勃的法律，该法案中最引人注目的措施将要求每个大型科技公司（在欧盟拥有超过 750 亿欧元的市值或超过 4500 万人的用户群）创造可与小型平台互操作的产品。 对于信息应用来说，这将意味着让 WhatsApp 这样的端到端加密服务与 SMS 这样不太安全的协议混在一起–安全专家担心这将破坏在信息加密领域来之不易的成果。 DMA的主要关注点是一类被称为“守门人”（gatekeepers）的大型科技公司，这类公司的定义是其受众或收入的规模，并延伸到他们能够对较小的竞争对手行使的结构性权力。通过新的法规，政府希望“开放”这些公司提供的一些服务，以允许小型企业参与竞争。这可能意味着让用户在 App Store 之外安装第三方应用程序，让外部卖家在亚马逊搜索中排名更靠前，或者要求消息应用程序在多个协议中发送文本。 但这可能会给承诺端到端加密的服务带来真正的问题：密码学家的共识是，如果不是不可能，也很难在应用程序之间保持加密，这可能会对用户产生巨大影响。Signal 受到影响很小，不会受到 DMA 条款的影响，但 WhatsApp–使用 Signal 协议并由 Meta 拥有–肯定会受到影响。其结果可能是，WhatsApp 的部分（如果不是全部）端到端信息加密被削弱或取消，使 10 亿用户失去了私人信息的保护。 鉴于需要精确地执行加密标准，专家们说，没有一个简单的解决方案可以调和加密信息服务的安全性和互操作性。知名互联网安全研究员、哥伦比亚大学计算机科学教授史蒂文-贝罗文（Steven Bellovin）说，实际上，没有办法将具有不同设计特点的应用程序的不同加密形式融合在一起。 Bellovin 说：“试图调和两种不同的加密架构根本不可能做到；一方或另一方将不得不做出重大改变。一个只有在双方都在线的情况下才能工作的设计与一个在存储信息的情况下工作的设计看起来会非常不同….。你如何使这两个系统互通有无？” Bellovin说，使不同的信息服务兼容可能会导致最低共同标准的设计方法，其中使某些应用程序对用户有价值的独特功能被剥离，直到达到一个共同的兼容性水平。例如，如果一个应用程序支持加密的多方通信，而另一个不支持，维持它们之间的通信通常需要放弃加密。 另外，DMA提出了另一种方法让隐私倡导者来说同样不满意：在两个加密方案不兼容的平台之间发送的信息在它们之间传递时被解密和重新加密，打破了”端到端”的加密链，为不良行为者的拦截创造了一个漏洞。 Muffett 表示：“这就像是你走进麦当劳，为了打破行业垄断现在要求你订单必须要有来自其他餐厅的寿司拼盘。当要求的寿司从表面上要求的寿司店通过快递到达麦当劳时，会发生什么？麦当劳能否以及是否应该向顾客提供这种寿司？快递员是合法的吗？它是安全准备的吗？” 目前，每个信息服务都对自己的安全负责–穆菲特和其他人认为，通过要求互操作性，一个服务的用户会暴露在可能由另一个服务引入的漏洞中。归根结底，整体安全只有在最薄弱的环节才是最强大的。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1252143.htm 封面来源于网络，如有侵权请联系删除