WhatsApp和Telegram媒體文件在到達您的手機后不那么安全

雖然他們以傳輸中強烈加密郵件而聞名，但像WhatsApp和Telegram這樣的應用程序可能無法始終保證文件在手機上安全。今天，賽門鐵克的研究人員解釋了黑客如何使用惡意應用程序巧妙地改變通過服務發(fā)送的媒體文件。

WHATSAPP通過外部存儲存儲媒體

在Android上，應用程序可以選擇通過只能通過應用程序訪問的內部存儲或其他應用程序可以更廣泛使用的外部存儲來保存媒體(如圖像和音頻文件)。默認情況下，WhatsApp通過外部存儲存儲媒體，當應用程序的“保存到圖庫”功能啟用時，Telegram會這樣做。

據(jù)研究人員稱，該設計意味著具有外部存儲訪問權限的惡意軟件可用于訪問WhatsApp和Telegram媒體文件，甚至可能在用戶看到它們之前。例如，如果用戶下載惡意應用程序，然后在WhatsApp上收到照片，黑客就可以在沒有接收者注意的情況下操縱圖像。理論上，黑客也可以改變傳出的多媒體消息。

研究人員稱此攻擊為“媒體文件頂升”。在許多方面，這是一個已知問題，并且在Android上的消息應用的隱私和可訪問性之間進行權衡。通過使用廣泛使用的外部存儲設置，應用程序與其他應用程序更兼容，允許圖片和其他數(shù)據(jù)更自由地移動。但這帶來了成本：去年，研究人員指出了類似的問題。

電報沒有立即回復評論請求。WhatsApp的一位發(fā)言人表示，更改其存儲系統(tǒng)會限制服務共享媒體文件的能力，甚至會引入新的隱私問題。發(fā)言人在一份聲明中說：“WhatsApp已經(jīng)密切關注這個問題，它與以前有關移動設備存儲影響應用生態(tài)系統(tǒng)的問題類似。”“WhatsApp遵循操作系統(tǒng)為媒體存儲提供的當前最佳實踐，并期待提供符合Android正在進行的開發(fā)的更新。”

不過，這些不僅僅是任何消息應用程序。正如研究人員指出的那樣，用戶通常信任加密的應用程序“以保護發(fā)件人身份和郵件內容本身的完整性。”

“然而，”研究人員寫道，“正如我們過去所提到的，沒有代碼可以免受安全漏洞的影響。”