- A+
Android版本中出现的问题类似于已知的磁盘载入攻击向量。
虽然WhatsApp和Telegram将自己称为安全消息服务,但错误的开发人员编码允许网络攻击者拦截Android版本服务上发送的媒体文件(如照片和视频,文档和语音备忘录)。
被称为Media File Jacking的安全漏洞是去年Check Point在DEFCON上发布的“磁盘中的男人”漏洞的变种。 这是因为Android的操作系统使用了两种类型的存储 - 内部存储为每个应用程序提供了自己的沙箱而其他应用程序无法访问; 以及使用可移动SD卡的外部存储机制。 后一种存储在操作系统中共享,因为它旨在使应用程序能够将数据从一个应用程序传输到另一个应用程序。 因此,如果用户拍照并希望使用消息传递应用程序将其发送给某人,则外部存储是允许这种情况发生的平台。
默认情况下,WhatsApp将设备接收的媒体文件存储在外部存储中。 在Telegram中,如果用户启用“保存到图库”功能,应用程序就会这样做。 研究人员表示,在这两种情况下,服务都缺乏适当的安全机制来阻止具有写入外部存储权限的其他应用程序访问文件。
据研究人员称,这个问题的加剧是媒体文件被接收和写入磁盘之间以及它们出现在用户聊天中的时间间隔。 在这个短窗口期间,恶意参与者可以在用户不知情的情况下干预和访问文件,尽管应用程序使用端到端加密。
因此,攻击者可以说服某人使用写入外部存储权限下载流氓应用程序(通过各种社交工程技术),该权限可以等待并静默侦听要写入外部存储磁盘的媒体文件。 然后,它可以立即复制或操作文件(或者只是将其替换为另一个文件),然后才能显示在收件人的聊天窗口中。
“将其视为攻击者与加载文件的应用程序之间的竞争,”赛门铁克的软件工程师Alon Gat 周一发布了该问题。 “如果攻击者首先访问文件 - 如果恶意软件监视公共目录的变化,这几乎可以实时发生 - 收件人将在看到原始文件之前看到被操纵的文件。 此外,用户看到的通知中显示的缩略图也将显示被操纵的图像或文件,因此收件人将不会指示文件已更改。 此外,WhatsApp在发送文件时都可以操作数据 - 这意味着攻击是在发送者的设备上启动的 - 当接收文件时 - 接收设备上发生了攻击。“
Google提供了开发人员指南,旨在充当安全最佳做法的路线图。 这些建议包括从不将关键或敏感数据文件写入外部存储,以及不使用它来存储影响应用程序运行方式的可执行文件或文件。 此外,Google建议,在动态加载之前,应对外部存储文件进行签名和加密验证。
然而,在WhatsApp和Telegram的案例中,“两个应用程序都没有采取任何措施保护其用户免受Media File Jacking攻击,”Gat说。
攻击向量可用于许多攻击场景,例如即时图像处理。 想象一下,例如,竞选办公室的政治家或公司高管的媒体文件被拍照,允许攻击者勒索或构建目标。 或者,恶意行为者可以操纵供应商发送给客户的发票,欺骗客户向非法帐户付款。
还需要考虑音频消息欺骗。
“首席执行官通过WhatsApp向他的首席财务官发送了一条音频信息,要求下周召开董事会会议的更新幻灯片,”Gat解释道。 “攻击者通过深度学习技术进行语音重建 - 这在今天变得越来越可行 - 改变原始音频文件,以首席执行官自己的声音与首席财务官沟通,付款需要立即转移到虚构的派对,实际上是攻击者。“
最后,在电报中,管理员可以向无限数量的订户广播消息到各种“频道”。攻击者可以实时更改频道馈送中出现的媒体文件,从而导致声誉或信誉受损。
研究人员表示,无论如何,WhatsApp和Telegram用户应该意识到服务的内置加密并不能解决问题。
“由于利用端到端加密等安全机制,新一代IM应用程序不受内容操纵和隐私风险的影响,因此媒体文件顶级威胁特别令人担忧,”盖特说。 。 “虽然端到端加密是确保通信完整性的有效机制,但如果代码中存在应用级漏洞,这还不够。”
电报和WhatsApp都没有立即回应关于这个故事的评论请求,尽管盖特说两者都被告知了这个问题。
不要错过 7月24日星期三美国东部时间下午2点 的免费直播 威胁邮件网络研讨会 “ 精简补丁管理”。 请加入Threatpost编辑Tom Spring和一个补丁专家小组讨论补丁管理的最新趋势,如何为您的企业找到合适的解决方案以及在部署程序时面临的最大挑战。 注册并了解更多信息
