近日，全球網絡安全解決方案提供商 Check Point 軟件技術有限公司的威脅情報部門 Check Point Research 最近幫助消除了在 WhatsApp 中發現的新漏洞。該漏洞允許攻擊者傳遞惡意群聊消息，進而導致群組所有成員所用應用崩潰。若要重新使用 WhatsApp，用戶需要卸載并重新安裝應用，然后刪除含有惡意消息的群組。

　　為了創建惡意消息，攻擊者需要加入目標群組（WhatsApp 群組成員上限為 256 人）。之后，攻擊者需要使用 WhatsApp Web 及其 Web 瀏覽器調試工具來編輯特定消息參數，然后將編輯后的文本發送至群組。該消息將導致群組成員陷入崩潰怪圈，拒絕其訪問所有 WhatsApp 功能，直至他們重新安裝 WhatsApp 并刪除帶有惡意消息的群組。

　　Check Point 產品漏洞研究負責人 Oded Vanunu 表示："WhatsApp 是全球領先的通信渠道之一，廣泛用于廣大消費者、企業和政府機構，因此若能夠阻止用戶使用 WhatsApp并迫使其從群聊中刪除重要信息，對于攻擊者而言絕對是一項非常有力的武器。所有 WhatsApp 用戶均應升級至最新版應用，以保護自身免遭此類攻擊。"

　　2019 年 8 月 28 日，Check Point Research 負責任地向 WhatsApp 漏洞報告獎勵項目披露了其發現。WhatsApp 確認了該發現，并開發了解決該問題的修復程序（自 WhatsApp 版本號 2.19.58 起提供）。用戶應手動應用于其設備。Oded Vanunu 表示："WhatsApp 盡責地做出了快速響應，針對這一漏洞利用威脅部署了防御措施。"

　　WhatsApp 軟件工程師 Ehren Kret 表示："WhatsApp 非常重視技術社區工作，這些工作可幫助我們保障全球用戶的安全。感謝 Check Point 負責地向我們的漏洞報告獎勵項目提交了其發現，我們于 9 月中旬快速解決了所有 WhatsApp 應用存在的這一漏洞。此外，我們最近還增添了新的控件，可防止用戶被添加到不必要的群組，從而避免與不可信成員進行通信。"

　　Check Point Research 團隊通過檢查 WhatsApp 和 WhatsApp Web （WhatsApp 應用的 Web 版本，會同步通過用戶手機收發的所有消息）之間的通信發現了這一漏洞。這使研究人員可以查看 WhatsApp 通信所使用的參數，并執行相應操作。新研究基于 Check Point Research 發現的"FakesApp"缺陷，后者允許攻擊者編輯群聊消息以傳播虛假新聞。

　　WhatsApp 擁有 15 億用戶和超過 10 億個群組，是全球最受歡迎的即時通訊應用。用戶每天通過 WhatsApp 發送超過 650 億條消息。
 

責任編輯：劉沙