安全公司赛门铁克公司透露，在消息应用程序WhatsApp和Telegram上收到的媒体文件可能会被欺骗。据网络安全公司赛门铁克称，WhatsApp和Telegram媒体文件很容易受到黑客攻击，这些黑客可以操纵在这些消息平台上收到的媒体文件。该公司的研究人员也披露了WhatsApp和Telegram的缺陷。“Media File Jacking”漏洞可能让潜在的黑客改变图像和音频文件。

WhatsApp上的媒体文件顶起，电报：有什么危险?

安全漏洞被赛门铁克称为“Media File Jacking”，默认情况下会影响WhatsApp forAndroid，如果启用了“保存到图库”功能，则会影响Android的Telegram。攻击者可以通过访问这些应用程序共享的文件来处理照片，视频，文档，发票甚至语音备忘录等信息。但是，所有这些都取决于用户的智能手机上是否已安装恶意软件。

Media File jacking中发生的情况是，安装在用户设备上的恶意应用程序可能会更改发票照片中的数字，以欺骗受害者向错误的人提供资金。或者攻击者可以通过访问和修改媒体文件来修改在这些平台上收到的个人照片，欺骗音频消息或传播假新闻。

赛门铁克的研究人员创建了一个恶意软件并对其进行了测试，以处理通过WhatsApp和Telegram发送的图像和音频文件。在安全公司(上面嵌入)共享的演示片段中，一个人发送了两个朋友的照片，但是安装了恶意软件的收件人设备收到了一张图片，其中两张脸被演员Nicolas Cage的脸部取代。

“WhatsApp用户可能会将家庭照片发送给他们的某个联系人，但收件人看到的实际上是修改过的照片。虽然这次袭击可能看似微不足道，只是一种麻烦，但它显示了动态操纵图像的可行性，“安全公司说。

那么Media File jacking攻击是如何进行的呢?

据赛门铁克称，由于通过应用程序接收媒体文件并将其写入磁盘并在聊天界面中加载媒体文件时，可能会发生攻击。赛门铁克表示，这里的时间流逝可能是恶意行为者在没有用户知情的情况下干预和操纵媒体文件的过程。

虽然端到端加密可以保护消息免受监控，并且即使是公司本身也可以隐藏平台上的对话，但这并不能使这些应用变得万无一失。

根据安全公司的说法，当文件存储在Android上的外部存储器上时，这是WhatsApp默认使用的，Telegram在用户启用“保存到图库”功能时使用，其他应用程序可以访问这些文件，如果存在恶意软件，可以操纵它们。

在Android上，应用程序将文件写入内部或外部存储，但外部存储中编写的文件也可以被其他应用程序修改和访问。赛门铁克在其博客文章中指出，“文件在没有适当安全机制的情况下存储在外部存储中并从中加载......允许其他具有写入外部存储权限的应用程序冒着媒体文件完整性的风险。”

它指出，“写入外部存储”是在Android上授予的非常常见的权限，GooglePlay中有超过一百万个应用具有此访问权限。风险在于WhatsApp和Telegram授予此权限，用户的媒体文件可能容易被滥用，以防恶意软件进入设备。

解决方案是什么?

该安全公司已经制定了几个开发人员可以采取的选项，以防范威胁。一种可能的方法是开发人员在将文件写入磁盘之前，通过在每个接收的媒体文件的元数据中存储哈希值来检查文件的完整性。其他选项包括将文件存储到内部存储器以及加密媒体文件。

这不是第一次暴露这些应用程序中的安全漏洞。今年5月，据报道WhatsApp漏洞允许黑客通过简单的电话在设备上安装间谍软件。早在2017年，电报被发现有一个漏洞，可以让黑客接管帐户。