早前 Unwire.hk 曾报导过 Facebook 和 WhatsApp 网页版的“偷 Key”安全漏洞,近日又有安全研究人员发现 WhatsApp 网页版潜藏危险漏洞,更指宣布每月有 9 亿活跃用户的 WhatsApp 可能有 2 亿用户已处于风险中。
WhatsApp 网页版早于今年年初推出,上月正式开放给 iPhone 用户使用,受到不少用户欢迎。新发现的漏洞可被骇客轻易利用,欺骗用户下载恶意程式到电脑中而且难以察觉。
漏洞利用门槛低,点开联络人资讯随时中招
安全研究人员 Kasif Dekel 指,WhatsApp 网页版同样俱备传送图片、音效、位置和联络人资讯等功能,而骇客正是利用这些功能,来散布恶意程式感染用户的电脑。
今次发现的安全漏洞非常容易利用,骇客只需要一个有效的 WhatsApp 账号,然后将 BAT 档案伪装成电子名片(vCard)发送给任意对象,当对方在网页版中点击察看时,就会暗中运行 BAT 档案内的恶意程式码,感染用户的电脑。
透过这种方式,骇客可以安装遥距操控软件,控制用家的电脑;利用勒索软件威胁用户付钱才解锁电脑;或者是暗中监视用户电脑的资料和活动,以及利用感染的电脑继续散播恶意程式等恶意行为。
幸好目前 WhatsApp 安全团队已经确认该安全漏洞并针对网页版释出更新修复,但 V0.1.4881 之前的所有版本均受漏洞影响,WhatsApp 呼吁用户应确保自己使用最新版本程式避免风险。
- 200 Million WhatsApp Users Vulnerable to vCard Vulnerability
(本文由 Unwire Pro 授权转载)
