如何用一张图片入侵Whatsapp和Telegram账户？

下次别人再给你发送照片时，你一定要小心了，不管是萌萌的宠物照，还是她的美照，都不要立马点开。因为一旦你点开了图片，黑客就可以利用这张图片入侵你的Whatsapp和Telegram账户。

近日，Checkpoint的安全研究员在Whatsapp和Telegram通信软件上发现了一枚漏洞。漏洞产生的原因是软件处理图片和多媒体文件过程中没有经过验证，恶意代码可以隐藏在图片或者多媒体文件中。所以，攻击者可以通过向受害者发送一张图片，进而控制用户账户。

据安全专家研究发现，只有浏览器版的Whatsapp和Telegram才受影响，移动版本不存在该漏洞。为了利用该漏洞展开攻击，攻击者需要在一张看似没有任何问题的图片中隐藏恶意代码，然后发送给受害者。一旦受害者打开了图片，那么攻击者即可访问受害者Whatsapp和Telegram账户数据，包括查看并操纵会话、访问受害者个人和群聊天记录、查看照片、视频、音频、通讯录以及其他文件。

如果攻击者向进一步扩大攻击范围，可以再次向受害者的通讯录发送恶意图片，一传十，十传百的感染下去。

演示视频

安全研究员为了证实这一漏洞的存在，给出了如下的演示视频：

Whatsapp版演示视频

Telegram版演示视频

为什么该漏洞就被忽略？

我们都知道Whatsapp和Telegram是端对端加密的通信软件，除了消息的发送者和接受者可以查看通信信息，没有人能够劫持他们的通信，所以我们想当然的以为它们已经足够安全。

通过Whatsapp和Telegram发送的信息，在发送端就已经加密，在接收端需要经过解密密钥才能查看。然而，我们都没有想到的是恶意代码可以跟随着信息的传递而传递（即使经过加密、解密的过程也不受影响）到接受者手中。

在收到漏洞报告之后，Whatsapp在24小时之内（3月8日）就将漏洞修复了，Telegram也在13日修复了漏洞。

Whatsapp和Telegram是在服务器端修复了漏洞，所以用户无需更新软件，但是需要重启浏览器。