IT業界資訊媒體

【睇片即死】WhatsApp再爆入侵漏洞

Facebook 早兩星期先向以色列公司 NSO Group 提出起訴,指佢哋非法利用 WhatsApp 漏洞去竊取用家私隱。話口未完,早幾日 Facebook 公布叫用家更新 WhatsApp,用嚟修復另一個漏洞,只要用家開啟咗一個惡意 MP4 檔案,就有可能俾黑客入侵,發動阻斷式服務或遙距執行程式碼等攻擊。唔知你呢排有無收同開過可疑嘅 MP4 檔案呢?

今次 WhatsApp 被利用嘅漏洞,屬於堆疊緩衝區溢位(stack-based buffer overflow),當 WhatsApp 解析惡意 MP4 檔案內嘅元數據時,就會觸發緩衝區溢出,越過系統保護機制,達到執行未授權程式碼或命令嘅目的。黑客要發動呢個攻擊並唔困難,只要佢攞到目標人物嘅電話號碼,就可以透過 WhatsApp 發出惡意 MP4 檔案,如果用家唔小心開咗,咁就中招㗎喇!

相比起之前透過 Video Call 或其他漏洞發動嘅攻擊,今次事件嘅影響範圍廣泛得多,無論係企業版或普通版 WhatsApp,又或係 iOS、Android、Windows 用家,統統都出事。根據 Facebook 表示,受影響嘅版本包括:

  • Android 2.19.274 或以前版本
  • iOS 2.19.100 或以前版本
  • Enterprise Client 2.25.3 或以前版本
  • Windows Phone 2.18.368 或以前版本
  • Business for Android 2.19.104 或以前版本
  • Business for iOS 2.19.100 或以前版本

有關今次嘅漏洞,Facebook 嘅發言人話未察覺到被廣泛利用嚟攻擊用家,今次公布嘅更新,只係佢哋正常嘅維護政策,當發現有新漏洞就會通知用家安裝更新檔。對於一般用家嚟講,除咗等官方發布更新檔,亦可以提升一吓使用習慣,例如喺設定入面停止自動下載圖像、聲音或影片檔,遇到有懷疑嘅檔案,就切記唔好亂開。

資料來源:https://bit.ly/2qqt6Qr

相關文章:【天馬行兇】WhatsApp好危 邊隻通訊軟件保密啲?

 

Privacy Preference Center