研究發(fā)現(xiàn)的安全缺陷允許攻擊者創(chuàng)建惡意群消息，這將導(dǎo)致用戶設(shè)備上裝載的WhatsApp崩潰，必須安裝最新版本才能修復(fù)

近日，全球領(lǐng)先的網(wǎng)絡(luò)安全解決方案提供商CheckPoint 軟件技術(shù)有限公司（納斯達(dá)克股票代碼：CHKP）的威脅情報(bào)部門CheckPointResearch最近幫助消除了在WhatsApp中發(fā)現(xiàn)的新漏洞。該漏洞允許攻擊者傳遞惡意群聊消息，進(jìn)而導(dǎo)致群組所有成員所用應(yīng)用崩潰。若要重新使用WhatsApp，用戶需要卸載并重新安裝應(yīng)用，然后刪除含有惡意消息的群組。

為了創(chuàng)建惡意消息，攻擊者需要加入目標(biāo)群組（WhatsApp群組成員上限為256人）。之后，攻擊者需要使用WhatsAppWeb及其Web瀏覽器調(diào)試工具來編輯特定消息參數(shù)，然后將編輯后的文本發(fā)送至群組。該消息將導(dǎo)致群組成員陷入崩潰怪圈，拒絕其訪問所有WhatsApp功能，直至他們重新安裝WhatsApp并刪除帶有惡意消息的群組。

CheckPoint產(chǎn)品漏洞研究負(fù)責(zé)人OdedVanunu表示：“WhatsApp是全球領(lǐng)先的通信渠道之一，廣泛用于廣大消費(fèi)者、企業(yè)和政府機(jī)構(gòu)，因此若能夠阻止用戶使用WhatsApp并迫使其從群聊中刪除重要信息，對于攻擊者而言絕對是一項(xiàng)非常有力的武器。所有WhatsApp用戶均應(yīng)升級至最新版應(yīng)用，以保護(hù)自身免遭此類攻擊�！�

2019年8月28日，CheckPointResearch負(fù)責(zé)任地向WhatsApp漏洞報(bào)告獎勵項(xiàng)目披露了其發(fā)現(xiàn)。WhatsApp確認(rèn)了該發(fā)現(xiàn)，并開發(fā)了解決該問題的修復(fù)程序（自WhatsApp版本號2.19.58起提供）。用戶應(yīng)手動應(yīng)用于其設(shè)備。OdedVanunu表示：“WhatsApp盡責(zé)地做出了快速響應(yīng)，針對這一漏洞利用威脅部署了防御措施�！�

WhatsApp軟件工程師EhrenKret表示：“WhatsApp非常重視技術(shù)社區(qū)工作，這些工作可幫助我們保障全球用戶的安全。感謝CheckPoint負(fù)責(zé)地向我們的漏洞報(bào)告獎勵項(xiàng)目提交了其發(fā)現(xiàn)，我們于9月中旬快速解決了所有WhatsApp應(yīng)用存在的這一漏洞。此外，我們最近還增添了新的控件，可防止用戶被添加到不必要的群組，從而避免與不可信成員進(jìn)行通信�！�

CheckPointResearch團(tuán)隊(duì)通過檢查WhatsApp和WhatsAppWeb（WhatsApp應(yīng)用的Web版本，會同步通過用戶手機(jī)收發(fā)的所有消息）之間的通信發(fā)現(xiàn)了這一漏洞。這使研究人員可以查看WhatsApp通信所使用的參數(shù)，并執(zhí)行相應(yīng)操作。新研究基于CheckPointResearch 發(fā)現(xiàn)的“ FakesApp ”缺陷，后者允許攻擊者編輯群聊消息以傳播虛假新聞。

WhatsApp擁有15 億用戶和超過10億個群組，是全球最受歡迎的即時(shí)通訊應(yīng)用。用戶每天通過WhatsApp發(fā)送超過650億條消息。