两大社交平台WhatsApp、Telegram媒体文件可被黑客篡改

2019-07-20 17:59:25

由于安卓操作系统允许应用访问外部存储中的文件,用户通过 WhatsApp 和 Telegram 消息应用传输的媒体文件可被黑客篡改

Telegram  WhatsApp  安卓  操作系统  赛门铁克  黑客  

来源: 安全牛

安卓应用可在设备内部或外部存储中存储文件和数据。内部存储中的文件只可由其相关应用访问,所以谷歌建议开发者用内部存储存放不应被用户或其他应用访问的数据。与之相对,外部存储中的文件用户和其他应用均可查看和修改。

赛门铁克的研究人员介绍了这种名为 “媒体文件劫持” (Media File Jacking) 的攻击方法:WhatsApp 和 Telegram 收发文件时在写入磁盘和加载到应用用户界面之间存在时间差,具有外部存储写权限的安卓应用便可趁此间隙快速修改文件。

该攻击对保持默认设置的 WhatsApp 和 勾选了 “保存到图库” 选项的 Telegram 有效。

恶意应用可在后台运行,监视目标消息应用的文件接收动作,伺机操作图片、发票、音频等文件。赛门铁克称,图片篡改可以只是搞搞恶作剧,但也可以用于勒索。

两大社交平台WhatsApp、Telegram媒体文件可被黑客篡改

发票篡改则后果严重得多。攻击者可以编程换掉文件中的银行账号信息,让受害者将钱打到自己控制的账户中而不是原始发票中写的账户。

客户收到预期的发票,却不知道其中账户信息已被篡改。而等供应商长期收不到货款而来函来电查询时,资金早已不见踪影了。更糟的是,发票篡改攻击可以大规模展开,找寻任何可被篡改的发票,广泛影响使用 WhatsApp 等即时通讯 (IM) 应用执行业务的受害者。

篡改音频消息也可对企业造成严重伤害。在赛门铁克描述的场景中,某公司 CEO 用 WhatsApp 给 CFO 发送了一段音频消息,要求更新董事会会议上要用的幻灯片。攻击者使用声音重建技术替换掉原始音频,改成 CEO 要求向攻击者控制下的银行账户转账的语音消息。

至于 Telegram 的应用场景,赛门铁克称,“媒体文件劫持” 攻击可用于在可信新闻机构的官方 Telegram 频道中插播假消息。攻击者可以将新闻机构推送的合法内容替换成自己的虚假信息,再呈现在受害者的手机上。

赛门铁克演示的是针对 WhatsApp 和 Telegram 的攻击,但业界此前已知悉了与安卓外部存储相关的风险。去年 Check Point 的研究人员就披露过一种非常相似的技术:安卓设备上的恶意软件可以用精心构造的文件覆盖掉合法文件以引发崩溃(也可导致提权执行代码),还可以劫持应用的更新进程来安装更多恶意软件。Check Point 将之称为 “盘中人” (man-in-the-disk) 攻击

赛门铁克已向 WhatsApp 和 Telegram 报告了自己的发现。WhatsApp 认为该问题应由谷歌解决,并将寻求评论的媒体引向了谷歌即将推出的 Android Q。Telegram 对此事不予置评。

Android Q 将引入名为 Scoped Storage 的隐私功能,用以改变应用访问安卓设备外部存储的方式。赛门铁克称,Scoped Storage 可能会缓解 “媒体文件劫持” 攻击,但由于应用开发者还需要一点时间适应新功能,这种改变或许不会那么快发生。而且,Android Q 的广泛应用也需要时间推开,而有些设备是不会更新自己的操作系统的。

赛门铁克认为,WhatsApp 和 Telegram 之类消息应用的开发者应采取措施防止潜在攻击,比如在加载前先验证文件完整性、尽可能在内部存储中存放文件,以及像加密文本消息一样加密媒体文件。

赛门铁克还开发了演示图片和发票如何被篡改的概念验证 (PoC) 漏洞利用程序。该公司发布了视频展示攻击者如何操纵这些类型的文件,并附上了录音文件篡改方法的演示。

二号老头 - 2019-07-20 17:59:25

Telegram  WhatsApp  安卓  操作系统  赛门铁克  黑客  Qati  百度爬虫  

312019-08
高三学生自学编程 盗取上亿条个人信息公开售卖amip

自学软件编程技术,研发黑客软件利用网站注册漏洞疯狂盗取公民个人信息上亿条,在境内外网络公开售卖...

122019-08
优衣库遭到黑客攻击,超过46万用户数据泄漏amip

日本最大的服装连锁Fast Retailing(迅销集团)发布消息称,优衣库以及GU品牌的在线商城遭到黑客攻击,约46万用户的数据泄漏,包括用户个人信息、电子邮件、地址以...

222019-07
Chrome和Firefox插件让数以百万计用户隐私数据泄露amip

流行浏览器诸如广告拦截等扩展功能,已经遭利用而让数以百万计使用Chrome和火狐(Firefox)的消费者个人数据泄露...

222019-07
剖析隐私安全的奥秘amip

个人隐私、安全、秘密最不为过。谈及到隐私和数据安全,可以分为很多很多种,今天我们主要来探索社会工程学的奥秘...

222019-07
浅谈互联网隐私安全amip

互联网已经与我们的生活密切融合,我们的一举一动都会在网络上留下蛛丝马迹,而这些数据的泄露往往会带来很多麻烦事。本文将简要介绍大数据时代给个人隐私保护所带来的挑战,看看会有...

202019-07
保加利亚五百万公民信息被盗,“黑客”疑为20岁电脑程序员amip

保加利亚警方7月17日宣布,造成近乎所有保加利亚成年公民信息失窃案的嫌疑人已被捕,嫌疑人为一名20岁的电脑程序员。该案件被认为是巴尔干半岛个人信息失窃数量最大的一起...

202019-07
这些危险密码,你还在用吗?amip

2018年2月到10月期间苹果手机用户大量AppleID和密码被盗,并出现大量人员被盗刷现金。经专业人士分析,这些AppleID被盗可能使用了撞库手段,只有弱密码才容易撞...

202019-07
平静网页下的隐私围猎,你可以选择奋起反击amip

除了大多数网站都在做的隐私收集外,还存在其他更多的风险,详见下文。这些隐私收集和风险来源的主要途径就是JavaScript...

202019-07
隐私利器:用它可暴露APP暗箱行为,阻断隐私窃取amip

NetGuard是一款开源隐私保护软件,对于这些APP的后台暗箱行为,你可能无计可施,但现在好了...

172019-07
保加利亚超70%个人隐私信息被盗 黑客还是阿桑奇的粉丝amip

一黑客组织窃取了数百万保加利亚人的个人信息,并通过电子邮件将盗取的数据的下载链接发送给当地媒体...

142019-07
黑客泄露德国数百名政客个人数据 包括总理默克尔amip

黑客日前泄露了包括总理默克尔在内的数百名德国政客的机密数据...