漏洞描述
漏洞发现者:Zengo X研究团队
漏洞类型:隐私漏洞
漏洞影响:攻击者可以多次查看并保存本应“阅后即焚”的加密消息,破坏了用户隐私。
漏洞影响范围
主要受影响平台:WhatsApp的网页版和桌面端应用
移动端应用:相对安全,未受影响。
漏洞利用方式
加密媒体消息:攻击者可以向收件人的所有设备发送加密媒体消息,即使这些消息在桌面端无法显示。
标志位修改:攻击者只需将“View once”值的标记从“true”改为“false”,即可绕过隐私功能,下载、转发和共享“阅后即焚”消息。
修复版本
发布时间:2024年9月
修复内容:WhatsApp已发布了更新,修复了导致“阅后即焚”功能失效的漏洞。
更新详情
修复方法:通过更新应用程序,WhatsApp阻止了攻击者修改“View once”标记,确保了消息的隐私性。
影响范围:此次更新主要影响了WhatsApp的网页版和桌面端应用,移动端应用不受影响。
用户反馈
用户担忧:用户对隐私保护表示担忧,担心类似的安全漏洞会影响其个人信息安全。
使用建议:专家建议用户在发送敏感信息时,尽可能使用移动应用而非网页版或桌面版,并只向完全信任的人发送“阅后即焚”消息。
安全建议
保持软件更新:用户应确保WhatsApp应用程序和操作系统都是最新版本,以获取最新的安全修复。
谨慎使用“阅后即焚”:在不确定的环境中使用时,用户应谨慎使用“阅后即焚”功能。
用户端建议
双重验证:启用WhatsApp的双重验证功能,增加账号安全性。
警惕未知链接和附件:不要随意点击来自不明来源的链接或下载附件,以免遭受恶意软件攻击。
开发端建议
持续监控:WhatsApp应持续监控和修复安全漏洞,确保用户数据的安全。
用户教育:加强对用户的安全教育,提醒用户注意隐私保护。
WhatsApp最近修复了一个严重的“阅后即焚”功能漏洞,允许攻击者多次查看加密消息。用户应确保应用程序和操作系统保持最新,谨慎使用“阅后即焚”功能,并启用双重验证以增强账号安全性。WhatsApp应继续加强安全措施,确保用户数据的安全。
根据要求,以下是一些推荐的 WhatsApp 替代软件:
1. Telegram:以安全性和隐私保护闻名,支持端到端加密,适合个人和大型社区使用。
2. Signal:专注于隐私保护,所有通讯内容均采用端到端加密,界面简洁易用。
3. WeChat(微信):在中国及一些华人社区非常流行,除了聊天功能外,还支持支付、社交媒体分享等。
4. Viber:支持语音和视频通话,适合需要与海外朋友保持联系的用户。
5. Discord:最初为游戏玩家设计,现已成为多功能社交平台,适合团队合作和兴趣小组。
6. Line:在东南亚非常流行,支持消息、语音、视频、动态等多种互动方式。
7. VK Messenger:俄罗斯流行的即时通讯应用,支持文本、语音和视频通话,以及创建群组频道。
8. Яндекс Мессенджер:由 Яндекс 公司开发,主要用于企业沟通,支持语音和视频通话,以及与 Яндекс 生态系统的集成。
WhatsApp的隐私政策包含以下具体条款和保护措施:
端到端加密:确保只有发送方和接收方能够读取消息内容,即使是WhatsApp本身也无法访问。
数据最小化:仅收集和存储用户通信所必需的最少数据。
严格的访问控制:防止未经授权的人员访问用户账户。
双重验证:用户可以通过设置一个六位数的PIN码来增加额外的安全层。
生物识别技术:如指纹和面部识别,以确保只有本人能解锁应用。
链接预览功能:用户可以在点击链接前查看其内容,从而减少点击钓鱼链接的风险。
自动备份和恢复功能:用户可以将聊天记录备份到云端,并在更换设备时轻松恢复。
群组隐私设置:用户可以控制谁能将其添加到群组,防止被陌生人随意拉进群聊。
举报和屏蔽不良联系人:确保一个更安全的通讯环境。
WhatsApp的登录方式主要有以下几种:
1. 手机号码验证登录:这是WhatsApp的主要登录方式。用户需要输入手机号码,系统会发送验证码到该号码,用户输入验证码后即可完成登录。
2. Facebook账号登录:在某些国家或地区,WhatsApp允许用户通过Facebook账号登录,这主要依赖于Facebook与WhatsApp的整合。
3. WhatsApp Web登录:用户可以通过扫描手机上的二维码,在电脑端使用WhatsApp Web登录,这种方式需要手机和电脑在同一网络下。