概述: 上周,最流行的移动消息应用WhatsApp终于上线了网页版,它叫WhatsApp Web,不过网页版还需要一些改进。 一名17岁的安全研究人员Indrajeet Bhuyan报告了两个WhatsApp网页客户端上存在的两个可暴露用户隐私的安全漏洞。Bhuyan将这两个漏洞分别命名为WhatsApp照片隐私漏洞以及WhatsApp网页照片同步漏洞。 Bhuyan之前曾报告了WhatsApp中的一个漏洞,允许攻击者通过发送仅为2kb大小的特殊编制消息击溃WhatsApp,从而导致会话记录丢失。 WhatsApp照片隐私漏洞 Bhuyan指出,新版WhatsApp Web允许用户查看任意用户的个人资料图片,即便我们并不在这个用户的联系人列表中。即使这个用户将个人资料图片隐私设置为“仅联系人”,其他不在列表中的人也可查看。 WhatsApp Web照片同步漏洞 第二个安全漏洞是照片同步功能漏洞。Bhuyan发现用户如果删除通过手机版WhatsApp发送的照片,照片会很模糊并且无法查看。然而,如果照片已被用户从手机版删除,WhatsApp Web还可访问到,因为照片并没有从网页版删除,这表明移动版及网页版的同步并没有妥善处理好。 这些漏洞的发现毫不令人惊奇,因为WhatsApp Web仅仅上线几天,这些小安全漏洞及执行漏洞在所难免,一些其他漏洞随后可能也会被披露。 然而,公司肯定会修复这些漏洞并且确保用户信息体验的安全性。WhatsApp与Open Whisper Systems合作,将端对端加密设置为安卓平台上的默认功能,以保护全球用户的在线隐私。 原文链接:http://thehackernews.com/2015/01/whatsapp-web-mobile-app.html |