小心啊，接一个WhatsApp 视频电话手机就被黑了

作者：Swati Khandelwal

翻译：360代码卫士团队

接一个 WhatsApp 视频电话，手机就能被黑？是的，这并非电影情节中的桥段。谷歌 Project Zero 团队的安全研究员 Natalie Silvanovich 在 WhatsApp 通讯 app 中发现了一个严重的漏洞，黑客仅凭拨打一个视频电话就能远程控制用户账户。

该漏洞是一个内存堆溢出问题，当用户通过某个视频通话请求接收一个特殊构造的恶意 RTP （实时传输协议）数据包时就会被触发，从而导致损坏错误和 WhatsApp 移动 app 崩溃。

由于漏洞影响 RTP实现，因此它影响安卓和 iOS 应用，但依靠 WebRTC 进行视频通话的 WhatsApp Web 并不受影响。

Silvanovich 还公布了 PoC

(https://bugs.chromium.org/p/project-zero/issues/detail?id=1654) 以及关于如何重现攻击的指南。

尽管 PoC 仅触发内存损坏问题，但谷歌研究员 Tavis Ormandy 表示，“这是一个大问题。仅仅接听攻击者打来的电话就能完全攻陷 WhatsApp。”

换句话说，攻击者只需要获得用户手机号码就能完全劫持用户 WhatsApp 账户并监控用户的私密会话。

Silvanovich 在今年8月份发现并向 WhatsApp 团队报告了该问题。后者证实并在9月28日修复了安卓客户端中的问题，并于10月3日修复了 iPhone 客户端中的问题。所以，如果你在使用 WhatsApp，那么需要尽快更新。

两个月前，研究人员曾在 WhatsApp 移动 app 和 WhatsApp Web 连接的方式中发现了一个缺陷，可导致恶意用户拦截并更改发送至私密以及群组会话中的信息内容。

原文链接

https://thehackernews.com/2018/10/hack-whatsapp-account-chats.html

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。