WhatsApp、Telegram下載圖片隨時被入侵 專家:黑客可用以勒索
透過手機通訊程式互傳有趣圖片可謂日常事,然而有資訊保安公司發現,黑客以有趣圖片包裝惡意代碼,在即時通訊程式WhatsApp及Telegram網頁版「傳播」,一旦下載,黑客即可掌控用戶戶口,閱覽對話紀錄及私人資訊,再偽裝身份入侵其他用家。雖WhatsApp及Telegram已修補有關漏洞,建議用家要確保使用最新版本,但有資訊科技專家分析,若「中招」用戶未有更新,黑客便可繼續盜取私人資料用以繼續犯案,如向其親友勒索等。
有趣圖片作餌 隨機端對端傳送
WhatsApp和Telegram早前開始使用端對端加密功能,保障用戶私隱,用戶傳送的訊息內容不會被公司讀取。不過以色列資訊保安公司Check Point發現,黑客看準此功能發動入侵,先是隨機找號碼端對端傳送有趣圖片及標題,吸引用家在WhatsApp及Telegram網頁版下載,而該圖片則包含惡意代碼,代碼允許黑客可存取用戶數據資料。由於WhatsApp及Telegram網頁版容許數據資料跟電子設備同步,因此用戶收發的訊息內容、圖片、視頻、聯絡人列表等,黑客均可全部讀取。
該資訊保安公司指,黑客透過這些私人資料,可廣泛向用戶的聯絡人繼續散播惡意代碼,掌控更多用家,甚至犯案,如黑客可藉用戶的名義向其他人發訊息,要求繳交贖金。由於兩通訊程式使用端對端加密功能,因此WhatsApp及Telegram早前根本無法防止惡意內容的傳送。
WhatsApp、Telegram已推修復版本
就該資訊保公司的發現,WhatsApp和Telegram於本月上旬已確認保安問題,並已即時開發並推出修復程序,現時傳訊內容在加密前會由WhatsApp和Telegram驗證,阻止惡意文件的傳送,WhatsApp和Telegram均建議用戶重新啟動瀏覽器,確保使用網頁版的最新版本。Check Point則建議用家定期在電腦登出WhatsApp和Telegram網頁版,並避免打開不知名用戶傳送的可疑文件和連結。
資訊科技專家:盜資料勒索如電話騙案
香港電腦保安事故協調中心回應指,暫未接獲相關求助個案,中心建議用家透過WhatsApp和Telegram的手機應用程式登出所有連接的電腦網頁版,確保截斷聯繫,即使早前曾被入侵操控,只要重新登入便不會再受影響。
香港資訊科技商會榮譽會長方保僑指,黑客初期以電腦隨機發出有毒圖片吸引潛在受害人下載,成功入侵後估計會盜取用戶的個人資料,了解用戶的特色,以助黑客往後向用戶身邊的親友勒索,手法猶如電話騙案。他提醒WhatsApp及Telegram用家應盡快截斷網頁版聯繫,重新登入確保正使用更新版本,相信此舉已可完全切斷黑客的掌控。
