WhatsApp 桌面版大漏洞!遠端偷電腦資料 教你點避免駭客入侵

撰文:區慶威
出版:更新:

WhatsApp 桌面版存在可以被駭客入侵的漏洞,資訊安全機構 perimeter x 的研究員 Gal Weizman 發現,利用 Chromium 網頁編寫技術的漏洞,可以輕易修改 WhatsApp 訊息中網絡連結的目的地,甚至加入 javascript 程式碼,遠端存取受害人電腦資料。

資訊安全機構perimeter x的研究員 Gal Weizman 在研究 WhatsApp 桌面版時,發現 Facebook 為了更輕易製作 WhatsApp 的桌面版(Mac/Windows)及網頁版,使用了以 Chromium 網頁編寫技術為基礎的 Electron 架構,去同時製作多個瀏覽器的網頁版,以及 Mac、Windows 兩大平台的桌面版 Apps。

Gal Weizman 以 Chromium,成功替換 WhatsApp 訊息中網頁連結的目的地(改為 example.com)。(perimeter x)

大家在 WhatsApp 發送網頁連結的時候,網頁連結的預覽其實是在發送者一端已經預先製作好;Gal Weizman 就利用一個存在於 Chrome/69 版本環境的漏洞,成功在編寫 WhatsApp 訊息時,將發送網頁的連結替換作其他連結,但保留 WhatsApp 訊息的網頁預覽,令接收者有機會誤入錯誤甚至危險的網頁。

WhatsApp 網頁版漏洞(按圖放大有幾危險)

Gal Weizman 更進一步利用這個漏洞,以 javascript 程式碼代替原本的網頁連結,但保留網頁縮圖預覽,若果接收者點擊連結,就會令發送者有方法入侵對方電腦,遠端進行攻擊!Gal Weizman 指有關漏洞存在於所有以 Chromium 為基礎的瀏覽器,以及 WhatsApp 的桌面版 Apps。雖然部份瀏覽器已經更新並封鎖有關漏洞,不過 Gal 指出 Safari 及 Edge 瀏覽器上,有關漏洞依然存在。

升級 WhatsApp 桌面版保平安(按圖放大睇步驟)

大家要避免這個漏洞讓駭客有機可乘,應該先將桌面版及手機版 WhatsApp 更新至最新版本,以及避免以 Safari 或 Edge 瀏覽器開啟「web.whatsapp.com」。