如何操纵通过 WhatsApp 和 Telegram 发送的媒体文件？

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

赛门铁克公司的研究人员演示了针对安卓版 WhatsApp 和 Telegram app的多种攻击场景，可导致恶意人员传播虚假信息或诱骗用户将款项打到错误的账户。

这种攻击被称为“媒体文件劫持 (Media File Jacking)”，它利用的是一个已知事实即安装在设备上的任何 app 都能够访问和覆写保存在外部存储中的文件，包括该设备上其它 app 保存的文件。

WhatsApp 和 Telegram 可使用户选择是否想要将所有的多媒体文件保存在设备的内部或外部存储。

然而，安卓版WhatsApp 默认将媒体文件存储在外部存储，而安卓版 Telegram 使用内部存储存储无法被其它 app 访问的文件。但是，很多 Telegram 用户手动使用设置中的“保持至图库”的选项将该设置改变为外部存储，使用其它通讯 app 如 Gmail、Facebook Messenger 或 WhatsApp 和朋友们重新分享收到的媒体文件。

应该注意的是，该攻击不仅限于 WhatsApp 和 Telegram，还影响很多其它安卓 app 的功能和隐私。

和“磁盘中人(man-in-the-disk) ”攻击一样，安装在收件人设备上的恶意 app 能够拦截并操纵通过设备外部存储在用户之间发送的媒体文件如私密照片、文档或视频，而收件人对这些毫无察觉且是实时进行的。

研究人员指出，“在不具备适当安全机制保护的情况下文件被存储在外部存储且从外部存储加载的事实导致具有写入外部存储权限的其它app 具有破坏媒体文件完整性的风险。在使用这些即时通讯 app 谋取个人利益或造成破坏时，攻击者能够利用发件人和收件人之间的信任关系。”

研究人员说明并演示了如下四种场景。恶意 app 能够疯狂地分析并操纵进入的文件，导致：

（1） 图像操纵

在这种攻击场景中，用户下载的看似无害但实际上恶意的 app 能够在用户使用 WhatsApp 时在后台运行，执行媒体文件劫持攻击，“并以近乎实时且在受害者未察觉的情况下操纵个人照片。

（2） 付款操纵

在这种被研究人员称作“最具破坏力的媒体文件劫持攻击之一”的攻击场景中，恶意人员能够操纵由供应商发送的发票，诱骗客户将款项打到由攻击者控制的账户中。

（3） 音频信息欺骗

在这种攻击场景中，攻击者能够利用组织机构中员工之间的信任关系。他们能够通过深度学习技术，使用语音重建来更改原始的音频信息以谋私利或造成实际危害。

（4） 传播虚假新闻

在 Telegram 中，管理员使用“信道”概念将信息广播给订阅发布内容的大量用户。攻击者能够实施媒体文件劫持攻击，实时更改可信信道推送中显示的媒体文件以传播虚假新闻。

赛门铁克公司的研究人员已经将媒体文件劫持攻击的情况告知 Facebook/WhatsApp，据称谷歌将会在安卓Q更新中解决该问题。

安卓 Q 版本中包含一个新的隐私功能“ScopedStorage”，它能够更改 app 访问设备外部存储中文件的方式。ScopedStorage 为每个应用程序提供一个独立的存储沙箱到设备外部存储中，其它程序无法直接访问设备上其它 app 所保存的数据。

在问题修复前，用户还可以禁用负责将媒体文件存储到设备外部存储的功能，缓解安全风险。为此，安卓用户可在 WhatsApp 的聊天设置中关闭“媒体可见性”，而在 Telegram 的聊天设置中禁用“保存到图库”。

原文链接

https://thehackernews.com/2019/07/media-files-whatsapp-telegram.html

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。