转载

WhatsApp曝WEB电子名片漏洞影响数亿用户

安全公司Check Point发现，在全球拥有超过七亿用户的社交应用WhatsApp出现了一个web漏洞，多达两亿用户遭受影响。

Web版本的WhatsApp允许用户在PC机上进行访问，然而黑客利用该漏洞，可以在受害者电脑上执行任意代码。

Check Point公司的安全研究员Kasif Dekel解释说，黑客利用该漏洞，发送一个包含恶意代码的电子名片给其他用户，就可以执行任意代码。

黑客需要在发送的电子名片里name属性里注入命令字符串，用&分割。受害者的Windows会自动解析各种属性并组合起来，然后试图执行里面的内容，自然也可以执行注入的命令。

这个漏洞主要在于Web版本的WhatsApp缺乏对发送名片格式的验证，让黑客可以在受害人机器上运行各类恶意软件，如远控和蠕虫等等。

Dekel补充道：

“通过截取和篡改发送给WhatsApp服务器的XMPP包，你就可以控制电子联系卡片的文件扩展名。”

Check Point的专家们补充说，黑客也可以使用一个简单的图标来利用这个漏洞：

WhatsApp曝WEB电子名片漏洞影响数亿用户

正文到此结束

所属分类：编程技术

本站定位：个人技术类博客

本站作用：写博客、记日志、闲聊扯淡鼓捣技术。

WhatsApp曝WEB电子名片漏洞 影响数亿用户