WhatsApp和Telegram媒體文件在到達(dá)您的手機(jī)后不那么安全

雖然他們以傳輸中強(qiáng)烈加密郵件而聞名，但像WhatsApp和Telegram這樣的應(yīng)用程序可能無(wú)法始終保證文件在手機(jī)上安全。今天，賽門鐵克的研究人員解釋了黑客如何使用惡意應(yīng)用程序巧妙地改變通過(guò)服務(wù)發(fā)送的媒體文件。

WHATSAPP通過(guò)外部存儲(chǔ)存儲(chǔ)媒體

在Android上，應(yīng)用程序可以選擇通過(guò)只能通過(guò)應(yīng)用程序訪問(wèn)的內(nèi)部存儲(chǔ)或其他應(yīng)用程序可以更廣泛使用的外部存儲(chǔ)來(lái)保存媒體(如圖像和音頻文件)。默認(rèn)情況下，WhatsApp通過(guò)外部存儲(chǔ)存儲(chǔ)媒體，當(dāng)應(yīng)用程序的“保存到圖庫(kù)”功能啟用時(shí)，Telegram會(huì)這樣做。

據(jù)研究人員稱，該設(shè)計(jì)意味著具有外部存儲(chǔ)訪問(wèn)權(quán)限的惡意軟件可用于訪問(wèn)WhatsApp和Telegram媒體文件，甚至可能在用戶看到它們之前。例如，如果用戶下載惡意應(yīng)用程序，然后在WhatsApp上收到照片，黑客就可以在沒(méi)有接收者注意的情況下操縱圖像。理論上，黑客也可以改變傳出的多媒體消息。

研究人員稱此攻擊為“媒體文件頂升”。在許多方面，這是一個(gè)已知問(wèn)題，并且在Android上的消息應(yīng)用的隱私和可訪問(wèn)性之間進(jìn)行權(quán)衡。通過(guò)使用廣泛使用的外部存儲(chǔ)設(shè)置，應(yīng)用程序與其他應(yīng)用程序更兼容，允許圖片和其他數(shù)據(jù)更自由地移動(dòng)。但這帶來(lái)了成本：去年，研究人員指出了類似的問(wèn)題。

電報(bào)沒(méi)有立即回復(fù)評(píng)論請(qǐng)求。WhatsApp的一位發(fā)言人表示，更改其存儲(chǔ)系統(tǒng)會(huì)限制服務(wù)共享媒體文件的能力，甚至?xí)胄碌碾[私問(wèn)題。發(fā)言人在一份聲明中說(shuō)：“WhatsApp已經(jīng)密切關(guān)注這個(gè)問(wèn)題，它與以前有關(guān)移動(dòng)設(shè)備存儲(chǔ)影響應(yīng)用生態(tài)系統(tǒng)的問(wèn)題類似。”“WhatsApp遵循操作系統(tǒng)為媒體存儲(chǔ)提供的當(dāng)前最佳實(shí)踐，并期待提供符合Android正在進(jìn)行的開(kāi)發(fā)的更新。”

不過(guò)，這些不僅僅是任何消息應(yīng)用程序。正如研究人員指出的那樣，用戶通常信任加密的應(yīng)用程序“以保護(hù)發(fā)件人身份和郵件內(nèi)容本身的完整性。”

“然而，”研究人員寫(xiě)道，“正如我們過(guò)去所提到的，沒(méi)有代碼可以免受安全漏洞的影響。”