移动通讯

1 文章

Bug、欺诈和WhatsApp网页版

流行的移动消息服务WhatsApp于上月发布了其网页版,该服务允许用户在其喜爱的网页浏览器上使用WhatsApp —但必须用的是Google Chrome浏览器,才无需将个人的WhatsApp网页版账户与iPhone手机配对。 像往常一样,《卡巴斯基每日中文博客》最感兴趣的还是WhatsApp网页版的安全问题。尽管该服务仅公开发布了一个月不到的时间,但一些漏洞已被发现,与之相关的安全事件也时有发生。 Indrajeet Bhuyan是一名来自印度的年仅17岁的科技类博客博主和安全研究者,他发现了两个的确存在于WhatsApp网页版和移动版之间互动过程中的有趣bug。首先要搞清楚的是,网页版客户端只是WhatsApp移动应用程序的一个扩展,是通过映射移动设备的会话然后在Chrome浏览器上显示,其工作原理在WhatsApp官方博客上已与所介绍。因此当用户的iOS移动设备无法连接互联网的时候,就可以使用WhatsApp网页版。 大多数WhatsApp网页版bug在某种程度上与移动应用程序有关的可能性很大,Bhuyan已对其所发现的bug很好地进行了演示。 Bhuyan所发现的其中一个bug与删除的照片有关,也与移动版和网页版之间同步的方式有关。如果用户将WhatsApp与新的网页版服务配对后删除一张照片的话,该照片也将在移动版本应用程序内被删除。然而,据Bhuyan称,任何删除的照片将依然能在网页版客户端上看到。但在另一方面,一旦消息被从移动应用上删除后,网页版应用也将同步删除。 另一个Bhuyan所发现的bug与用户资料隐私选项有关。用户可以将用户资料照片选择向所有人或用户联系列表内的人公开,或者完全保密。Bhuyan宣称,如果选择仅向联系列表内的人公开你的用户资料照片的话,但事实上所有想看到的人都能通过网页版应用看到。下面这段视频说明了一切: Bhuyan在自己的博客上发布了一篇对其研究的简要分析文章,而Bhuyan本人从14岁起就在这个博客上开始发布与科技有关的文章。《卡巴斯基日报》随后联系到了WhatsApp,但该公司对此没有做出任何回应。 卡巴斯基实验室研究人员Fabio Assolini长期追踪利用平台公共利益实施诈骗的网络犯罪行为。据Securelist报道,此类网络诈骗活动通过模仿WhatsApp安装网页,将官方的Google Chrome插件替换成假冒的。要想安装WhatsApp网页版,用户需要访问web.whatsapp.com并用移动设备扫描二维码图片。当然,网络骗子采用的方式是部署含有恶意二维码的山寨网站来感染用户设备。 事实上,Assolini还提到了网络骗子围绕桌面版WhatsApp的网络诈骗活动早在WhatsApp网页版推出前就已屡见不鲜了。他表示已经注意到几个售卖巴西网银木马病毒的恶意域名将自己装扮成假冒的Windows 版WhatsApp。 如果你打算安装WhatsApp网页版的话,确保访问的是正确的网站。 Assolini发现还有其他的犯罪集团利用人们对于WhatsApp网页版客户端的新鲜感,专门收集电话号码以实施昂贵短信服务的诈骗活动,通过将这些电话号码在一些短信服务上注册,受害用户将不得不向犯罪分子支付昂贵的”服务费”。 我们非常期待想了解WhatsApp网页版的安全防范能力是如何领先于其它消息服务的。 目前最好的建议是:如果你打算安装WhatsApp网页版的话,确保访问的是正确的网站。