17岁少年披露“美国版微信”WhatsApp Web两个安全漏洞

国外最流行的移动通信APP(也就是美国的微信)WhatsApp最近开发出了网页版。可惜没上线多久,一位17岁的印度少年就发现了它2个安全漏洞。

又是你……奔跑吧少年

Indrajeet Bhuyan今年17岁,是一名来自印度的安全研究人员。近日他发现了两个WhatsApp Web版的漏洞:一个是照片越权查看漏洞,另外一个是照片同步漏洞。

等等,Bhuyan这个名字是不是很熟悉?没错,Bhuyan同样也是之前FreeBuf报道过的“一条消息就让WhatsApp崩溃”的漏洞发现者,真是英雄出少年啊。

照片越权查看漏洞

正常情况下,如果我们设置了“仅联系人可见”的话,那其他非联系人列表里的人是无法查看我们的资料图片的。但是新版本的WhatsApp Web却不一样,无论你设不设置“仅联系人可见”,其他的联系人(包括联系人列表之外的用户)都能看到你WhatsApp上的图片。

具体的漏洞利用,可见下面视频中的演示:

照片同步漏洞

另一安全漏洞出现在WhatsApp Web照片同步功能。Bhuyan发现当用户在WhatsApp手机客户端上删除照片后,照片还能够通过PC(Web)版获得。

这就说明网页版和移动手机版的应用程序存在同步不当问题。

具体详见视频中的演示:

出现这些问题情有可原,毕竟网页版应用程序刚开发出来没几天,存在一些安全问题是在所难免的。

官方回应

WhatsApp公司已经承诺修复这些安全问题,并保证用户的通信安全。安卓版本的用户应该不会出现隐私泄露的问题,因为WhatsApp启用了在线隐私保护模式,默认对文本消息进行端对端(end-to-end)的加密。