- A+
两名年仅17岁的印度安全研究人员发现热门应用WhatsApp中存在漏洞,攻击者可以通过向受害者发送特定的消息使对方的应用崩溃。WhatsApp是一款流行的即时通讯手机APP,相当于美国版微信。
特殊消息导致应用崩溃
这两名印度自由安全研究者叫做Indrajeet Bhuyan和Saurav Kar,令人惊讶的是他们都是年仅17岁的少年。他们演示了如何利用该漏洞使对方的WhatsApp应用崩溃。
在视频中他们向我们进行了展示:仅使用大约2KB左右的特殊字符集消息就能让WhatsApp应用崩溃。
以前WhatsApp曾出现过这么一种攻击手段:向对方发送超大的消息(超过7MB),然后让受害者的应用和设备迅速崩溃。
当下的这种新手法只需2KB左右大小的消息就能实现。更糟糕的是,用户如果收到了这样特定的消息,将不得不把与消息发送人的历史聊天对话删除,然后开始新的对话。因为如果不完全删除聊天对话,应用程序就会一直处于崩溃的状态,无法进行正常的聊天。
漏洞适用版本和应用范围
该漏洞已经在多个版本的安卓系统下测试成功,其中包括Jellybean(Android 4.1), Kitkat(Android 4.4)及其以下的安卓版本。
举一反三,如果在WhatsApp群里有一些令人讨厌的成员,你可以通过这种手法给他发送消息,逼迫他自行删除群,实现强制踢人。同样,如果你不想让某人保留一些不可告人的聊天记录,你也可以发送这样的“攻击消息”给他……
这个漏洞还没有在IOS上测试过。但可以肯定的是,不管在什么系统上,WhatsApp的2.11.431和2.11.432版本都受影响。当然,这个漏洞在windows8.1上的WhatsApp是不起作用的。
他们在这里提供了漏洞攻击测试视频,大家可以看看:
Youtube视频源:https://www.youtube.com/watch?v=yqU9-eRj5Cc
WhatsApp的其他介绍
WhatsApp今年2月份被Facebook以190亿美元收购,截止2014年10月,WhatsApp已有6亿的用户。据安全研究人员所述,受该漏洞影响的用户群达5亿左右。
WhatsApp近期号称致力于在线隐私保护和全球的用户安全,默认对文本消息进行端对端(end-to-end)的加密,这可是一个浩大的工程。WhatsApp的创始人把这个举动称为“历史上最大的端对端加密部署”。