小强来了（小强满12岁的时候只过了三个生日他是几月几日出生的）

有资料隐私考察的用户可能偏好WhatsApp和Telegram等有加密的app来传送档案，但安全厂商发现在Android版WhatsApp及Telegram app有媒体档案劫持漏洞，能让黑客变造或篡改相片、视频档案进行诈骗或散布假新闻。

赛门铁克的Modern OS安全团队发现，这项漏洞出现在用户从外部接收到媒体档案并写入装置磁盘，以及通讯app从磁盘载入这些档案之间的时间差，此外，配合app的储存权限设定，而让黑客有机会上下其手。本漏洞会预设影响Android版WhatsApp，而Android版Telegram则会在特定功能启用时受到影响。

基本上，本漏洞攻击是利用某些Android app不安全的储存权限。Android app接收并储存档案的方式有二，一是内部储存，只能由该app储存及读取档案，安全性较高。另一种则是外部储存，app将档案储存在手机的公开目录，其他app也可以存取，后者方便弟三方app分享或用户从电脑存取，但是安全性较低。赛门铁克指出，将近50%的app都是采取这类储存权限，包括WhatsApp和Telegram，app从公开目录载入档案让用户可在传讯的界面中读取相片、视频。

研究人员指出，媒体档案劫持是攻击者和app载入动作的比赛。如果攻击者动作够快，就能在用户接到的档案写入磁盘后，抢在app载入之前迅速变造，例如视频中的人头像、传送假Google Map地图，蕞后使用者看到的图片、视频及听到的语音留言就是假的。在示范视频中，研究人员就成功将WhatsApp用户接收到的相片头像，置换成尼克拉斯凯吉。

此外，由于出现在通知中的头像也会被置换，因此接收者将无从察知其中异状。这个漏洞影响WhatsApp尤其大，因为攻击者可选择从档案的发送端或是接收端发动攻击。Telegram则是在使用\\\”Save to Gallery\\\”功能时，会曝露于漏洞攻击。

事实上，这类攻击可不只有搞笑用途，它可以用来制造证治假新闻、冒充或陷害他人、变造请款单中的收款音行帐户来诈骗付款，或是修改公司CEO传给CFO的语音信息等等。

研究人员建议WhatsApp循设定＞对话和通话，将\\\”储存接收的媒体\\\”关闭。但是这么做将使档案无法储存在手机中并和他人分享，而且未来移除WhatsApp时，档案也会一并移除。WhatsApp对多家媒体表示已经注意到问题，未来新版也会加以解决。

Telegram方面的解决方案是关闭\\\”Save to Gallery\\\”功能。Telegram公司目前未对此回应。

资料来源：iThome Security

海外精品引流脚本–最强海外引流  

官网：www.facebook18.com

唯一TG：https://t.me/Facebook181818