WhatsApp、Telegram下载图片随时被入侵 专家:黑客可用以勒索
透过手机通讯程式互传有趣图片可谓日常事,然而有资讯保安公司发现,黑客以有趣图片包装恶意代码,在即时通讯程式WhatsApp及Telegram网页版“传播”,一旦下载,黑客即可掌控用户户口,阅览对话纪录及私人资讯,再伪装身份入侵其他用家。虽WhatsApp及Telegram已修补有关漏洞,建议用家要确保使用最新版本,但有资讯科技专家分析,若“中招”用户未有更新,黑客便可继续盗取私人资料用以继续犯案,如向其亲友勒索等。
有趣图片作饵 随机端对端传送
WhatsApp和Telegram早前开始使用端对端加密功能,保障用户私隐,用户传送的讯息内容不会被公司读取。不过以色列资讯保安公司Check Point发现,黑客看准此功能发动入侵,先是随机找号码端对端传送有趣图片及标题,吸引用家在WhatsApp及Telegram网页版下载,而该图片则包含恶意代码,代码允许黑客可存取用户数据资料。由于WhatsApp及Telegram网页版容许数据资料跟电子设备同步,因此用户收发的讯息内容、图片、视频、联络人列表等,黑客均可全部读取。
该资讯保安公司指,黑客透过这些私人资料,可广泛向用户的联络人继续散播恶意代码,掌控更多用家,甚至犯案,如黑客可藉用户的名义向其他人发讯息,要求缴交赎金。由于两通讯程式使用端对端加密功能,因此WhatsApp及Telegram早前根本无法防止恶意内容的传送。
WhatsApp、Telegram已推修复版本
就该资讯保公司的发现,WhatsApp和Telegram于本月上旬已确认保安问题,并已即时开发并推出修复程序,现时传讯内容在加密前会由WhatsApp和Telegram验证,阻止恶意文件的传送,WhatsApp和Telegram均建议用户重新启动浏览器,确保使用网页版的最新版本。Check Point则建议用家定期在电脑登出WhatsApp和Telegram网页版,并避免打开不知名用户传送的可疑文件和连结。
资讯科技专家:盗资料勒索如电话骗案
香港电脑保安事故协调中心回应指,暂未接获相关求助个案,中心建议用家透过WhatsApp和Telegram的手机应用程式登出所有连接的电脑网页版,确保截断联系,即使早前曾被入侵操控,只要重新登入便不会再受影响。
香港资讯科技商会荣誉会长方保侨指,黑客初期以电脑随机发出有毒图片吸引潜在受害人下载,成功入侵后估计会盗取用户的个人资料,了解用户的特色,以助黑客往后向用户身边的亲友勒索,手法犹如电话骗案。他提醒WhatsApp及Telegram用家应尽快截断网页版联系,重新登入确保正使用更新版本,相信此举已可完全切断黑客的掌控。