3月16日訊 Check Point公司的研究人員們?nèi)涨芭读薟hatsApp與Telegram在線平臺（即WhatsApp Web與Telegram Web）中存在的一項全新安全漏洞。通過利用這項漏洞，攻擊者將可全面接管用戶帳戶，進(jìn)而訪問受害者的個人與群組對話、照片、視頻、其它共享文件以及聯(lián)系人列表等等。

這項安全漏洞允許攻擊者通過看似普通的圖像向受害者發(fā)送隱藏于其中的惡意代碼。一旦用戶點擊圖片，攻擊者即可全面訪問受害者的WhatsApp或者Telegram存儲數(shù)據(jù)，從而直接接管對方帳戶。

攻擊者隨后則可將該惡意文件發(fā)送至受害者的全部聯(lián)系人處，最終實現(xiàn)更為廣泛的攻擊活動。

Check Point公司于2017年3月8日向WhatsApp與Telegram安全團(tuán)隊披露了這一信息。WhatsApp與Telegram雙方承認(rèn)這一安全問題確實存在，并為全球Web版本客戶開發(fā)出修復(fù)方案。

Check Point公司產(chǎn)品安全漏洞研究負(fù)責(zé)人Oded Vanunu表示，“值得慶幸的是，WhatsApp與Telegram兩家公司迅速采取行動，立足全部Web客戶端對這項疸進(jìn)行了響應(yīng)，以防止其被惡意人士所利用。”WhatsApp Web用戶現(xiàn)在只需要重啟其瀏覽器即可確保使用最新版本的安全客戶端。

WhatsApp與Telegram利用端到端消息加密機(jī)制作為安全保護(hù)舉措，旨在確保只有通信方能夠閱讀消息內(nèi)容，而中間攔截者則無法加以窺探。然而，此次曝光的安全漏洞也正是源于同樣的端到端加密方案。

由于消息會在發(fā)送者一側(cè)進(jìn)行加密，因此WhatsApp與Telegram本身無法掌握消息內(nèi)容，意味著其無法防止發(fā)送惡意內(nèi)容。在此項漏洞得到修復(fù)后，內(nèi)容將在加密之前進(jìn)行驗證，從而提前阻止惡意文件的傳播。

這兩款應(yīng)用的Web版本皆會顯示由用戶通過移動應(yīng)用發(fā)送及接收的全部消息，且與用戶設(shè)備保持完全同步。