匯流新聞網

匯流新聞網記者紀沈廷／綜合報導

有點好奇，現在有哪個通訊軟體是真的安全、沒被攻擊過的嗎？雖然台灣人可能還是習慣用Line，但在全球市佔率最高的聊天手機應用程式，還是WhatsApp；不過這個將近有89%人口使用的軟體，最近傳出安全漏洞，只要用戶使用了惡意的GIF檔，駭客就會輕鬆接管用戶手機。

近日，一位暱稱為「Awakened」的新加坡資安專家，揭露了WhatsApp上的一個安全漏洞，這個只存在於Android版WhatsApp程式上的漏洞，只要遭到開採，就會允許駭客執行阻斷服務攻擊或進行遠端程式，波及到的用戶將是以幾億來計算。目前WhatsApp已經在上個月釋出WhatsApp 2.19.244來修補該漏洞。

這個漏洞編號名為CVE-2019-11932，為一記憶體重複釋放（double-free）漏洞，可造成程式當掉或衍生出遠端程式攻擊，藏匿在WhatsApp Gallery功能中。

根據Awakened的說法，駭客會先藉由任何管道傳送一個圖像給WhatsApp用戶，當使用者打算跟親友分享該圖片、並啟用WhatsApp Gallery時，WhatsApp Gallery就會秀出所有存在於Gallery的媒體，而這時就會觸發上述的CVE-2019-11932漏洞。

最糟糕的是，如果用戶的Android手機本身已經有惡意程式，還可以藉由該漏洞來擴張權限，除了可以竊取WhatsApp的訊息資料庫，還可以配合其他程式的安全漏洞，來進行遠端程式攻擊。

另外，相關的攻擊適用在Android 8.1與Android 9.0的WhatsApp程式，但若採用更舊的Android版本，那麼頂多就只會造成程式當掉。目前WhatsApp已在上個月修補CVE-2019-11932漏洞，也對外表示並未收到任何攻擊報告。

事實上，WhatsApp今年也曾傳出有過其他漏洞；像是今年8月，有以色列網路資訊安全公司發現，駭客能夠藉由幾種方式來監控WhatsApp用戶聊天內容，甚至可以進行竄改；他們發現駭客有3種方式來改變內容：首先是用群組對話quote功能改必發送者身分，有點類似通訊軟體聊天中的@某人某句回覆；其二則是變更其他人發表內容；最後則是能一對一私訊偽裝成群組訊息，發訊息給群組某個人，用戶的回覆就會直接被群組所有人看到。

還有今年5月，間諜軟體公司NSO開發了一個間諜軟體，藉由WhatsApp的漏洞，只要駭客撥打電話，就能在受害者的手機中植入間諜軟體，能夠自動刪除通話紀錄，而且完全不會留下痕跡。

參考來源：Forbes、TNW
照片來源：pixabay

更多匯流新聞網報導：
Android系統驚傳漏洞！手機恐被駭客監控 Google公布14款手機清單

Instagram再傳資安疑慮 安全漏洞恐讓用戶電話、姓名全外洩

【匯流筆陣】
CNEWS歡迎各界投書，來稿請寄至[email protected]，並請附上真實姓名、聯絡方式與職業身份簡介。
CNEWS匯流新聞網：https://cnews.com.tw

【文章轉載請註明出處】