IT業界資訊媒體

【睇吓都唔得】Android用家注意 WhatsApp開GIF圖會被hack

識得玩,一定玩 GIF 圖。比起唔識郁嘅相,GIF 嘅創作空間自然大得多。WhatsApp 喺三年前開始支援 send GIF,但原來喺今年 5 月,有網絡安全專家發現 Android 版 WhatsApp 喺玩 GIF 圖方面竟然存在重大漏洞,用家一旦中招,原先開放俾 WhatsApp 嘅權限,亦會同時間送埋俾黑客。不過唔使驚,WhatsApp 用咗接近三個月時間,而家已經修補咗漏洞,大家可以安心繼續玩喇!

新作業系統先出事

唔知大家仲記唔記得,究竟提供咗啲乜嘢手機權限俾 WhatsApp 呢?其實都幾多㗎,包括錄音、影相、拍片、讀取檔案、讀取 WhatsApp 收發嘅加密訊息等等。雖然中招後唔會成部手機俾黑客騎劫,但已經可以偷走好多嘢。越南網絡安全專家 Pham Hong Nhat 早前發現,Android 版 WhatsApp 存在 double free memory 漏洞,正確嚟講,應該係 WhatsApp 採用嘅一個開源 GIF 圖檔解釋庫應用程序存有漏洞。呢個重複釋放同一段記憶體嘅漏洞,可以俾黑客用嚟遙距執行程式碼,透過 WhatsApp 權限去讀取記憶卡上嘅資訊及訊息。

要達成呢個攻擊,黑客首先會將有問題嘅 GIF 圖傳送俾目標人士,不過,就咁睇係無事嘅,但只要當中招用家喺 WhatsApp 打開圖庫,去挑選要發送乜嘢相片時,讀取 preview 就會同時執行埋 GIF 圖內嘅惡意程式,就係咁就出事喇,你話係咪好兒嬉呢!

專家通知咗 WhatsApp 後,對方用咗成三個月時間先推出修補檔案,受影響嘅 Android 機主包括咗用緊 WhatsApp 2.19.230 或以前版本,同時手機嘅 Android 系統必須介乎 8.1 至 9.0,太舊嘅作業系統反而無事,因為專家話一執行惡意程式就會炒機。

係咪擔心自己有無中過招呢?咁就要諗一諗之前係點樣收 GIF 圖喇,因為另一個必要條件係,有問題嘅 GIF 圖一定要係經檔案傳送,唔可以直接喺對話介面貼出嚟,因為 WhatsApp 會自動壓縮圖檔再發送,入面嘅惡意程式就唔會存在,唔係咁易出事。但專家同時間就話,其他採用咗相同開源 GIF 圖檔解存庫應用程序 Android GIF Drawable嘅 app,一樣都有漏洞存在,所以唔單只用家要更新 WhatsApp,開發者都要盡快將呢個程序更新去 1.2.18 版本咁話。

資料來源:https://bit.ly/2oOvYVW

相關文章:【企硬!唔take嘢】同一漏洞 TelegramWhatsApp話唔包