whatsapp web网页版
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
17岁少年披露“美国版微信”WhatsApp Web两个安全漏洞 hujias认证作者2015-01-30金币奖励+5共186946人围观 ,发现 23 个不明物体 资讯
1.png
国外最流行的移动通信APP(也就是美国的微信)WhatsApp最近开发出了网页版。可惜没上线多久,一位17岁的印度少年就发现了它2个安全漏洞。
又是你……奔跑吧少年
Indrajeet Bhuyan今年17岁,是一名来自印度的安全研究人员。近日他发现了两个WhatsApp Web版的漏洞:一个是照片越权查看漏洞,另外一个是照片同步漏洞。
等等,Bhuyan这个名字是不是很熟悉?没错,Bhuyan同样也是之前FreeBuf报道过的“一条消息就让WhatsApp崩溃”的漏洞发现者,真是英雄出少年啊。
照片越权查看漏洞
正常情况下,如果我们设置了“仅联系人可见”的话,那其他非联系人列表里的人是无法查看我们的资料图片的。但是新版本的WhatsApp Web却不一样,无论你设不设置“仅联系人可见”,其他的联系人(包括联系人列表之外的用户)都能看到你WhatsApp上的图片。
具体的漏洞利用,可见下面视频中的演示:
照片同步漏洞
另一安全漏洞出现在WhatsApp Web照片同步功能。Bhuyan发现当用户在WhatsApp手机客户端上删除照片后,照片还能够通过PC(Web)版获得。
这就说明网页版和移动手机版的应用程序存在同步不当问题。
具体详见视频中的演示:
出现这些问题情有可原,毕竟网页版应用程序刚开发出来没几天,存在一些安全问题是在所难免的。
官方回应
WhatsApp公司已经承诺修复这些安全问题,并保证用户的通信安全。安卓版本的用户应该不会出现隐私泄露的问题,因为WhatsApp启用了在线隐私保护模式,默认对文本消息进行端对端(end-to-end)的加密。
[参考来源thehackernews,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]
hujias
hujias
24 篇文章
等级: 5级
||
上一篇:D-Link路由器曝远程DNS劫持漏洞下一篇:空Word文档附件:绕过垃圾邮件过滤的新方法
这些评论亮了
LJokerP (4级)来世愿做友人A回复
我发现我微信朋友圈跟购物软件已经没啥两样了,这漏洞能提交么
)36(亮了
94p7大屌 回复
尼玛。我十七岁的时候就在某安全公司,两年后我在阿里,能跟我比么
)28(亮了
周鸿祎 回复
谁能让这个骚年来我公司,我请他吃六块钱麻辣烫 
)16(亮了
发表评论已有 23 条评论
周鸿祎 2015-01-30回复 1楼
谁能让这个骚年来我公司,我请他吃六块钱麻辣烫
亮了(16)
/mg凤舞九天 (2级) 2015-01-30回复
@ 周鸿祎 有辣条么。。。
亮了(0)
cnhacks (3级) 2015-01-30回复
@ 周鸿祎 老板,骚年已经加入我们360了,辣条一会就来拿!
亮了(1)
LJokerP (4级) 来世愿做友人A 2015-01-30回复 2楼
我发现我微信朋友圈跟购物软件已经没啥两样了,这漏洞能提交么
亮了(36)
jacker (6级) Ubuntu Arch Vim爱好者 2015-01-30回复 3楼
现在微信被宣传化妆品污染了
亮了(2)
ziwen 认证厂商(4级) 环宇繁星 2015-01-31回复
@ jacker 说对了 见到那种人我一般都直删
亮了(0)
虾米 2015-01-31回复
@ ziwen 你的好朋友你也删?
亮了(0)
ziwen 认证厂商(4级) 环宇繁星 2015-02-03回复
@ 虾米 那要看是什么样的好朋友 如果只是认识就毫不留情
亮了(0)
瑞星杀毒 2015-01-30回复 4楼
这个漏洞我们的安全人员已经发现
亮了(1)
回锅肉 2015-01-30回复 5楼
这几天老是弹出这个网站
亮了(0)
宇宙第一黑客 2015-01-30回复 6楼
阿三又开挂。
亮了(0)
黄锦彪 2015-01-30回复 7楼
youku打开不了,你们能打开吗
亮了(0)
rex (1级) 2015-01-31回复 8楼
才17岁,17岁那年我都不知道计算机为何物…
亮了(0)
虾米 2015-01-31回复 9楼
17岁的你不好好打币子去,玩什么电脑。一天天不学点好的。
亮了(5)
jnxg (1级) 2015-01-31回复 10楼
英雄出少年 ? 我书读的少 不要骗我 国语什么水平?
亮了(1)
cafexss (4级) 咖啡 2015-01-31回复 11楼
还好我只用微信。。
亮了(0)
94p7大屌 2015-01-31回复 12楼
尼玛。我十七岁的时候就在某安全公司,两年后我在阿里,能跟我比么
亮了(28)
cnseay 2015-02-01回复
@ 94p7大屌 又冒充我????
亮了(0)
cnseay (1级) 2015-02-01回复
@ cnseay 又冒充我???
亮了(0)
支付产业热点 2015-01-31回复 13楼
不错的内容,感谢分享 !
亮了(0)
治愈系小贱男 2015-01-31回复 14楼
雷娟哼
亮了(0)
passer-by (1级) 打酱油滴啦 2015-02-03回复 15楼
卖酱油啦~~~~~~
亮了(0)
穷秀才 2015-07-11回复 16楼
每次打开微信都看到很多朋友发布的广告,整个朋友圈没做微商的就我一个人。TMD ,这还玩个屌微信啊!! 怒摔。
亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆?注册邮箱
请输入邮箱地址
必须(保密)表情插图
有人回复时邮件通知我
hujias
hujias认证作者
安全行业独立撰稿人,策划人
24
文章数
10
评论数
最近文章
肖恩·帕克:从黑客到亿万富翁
2015.07.05
巴西最大银行木马制造者:年仅20岁的大学生Lordfenix
2015.07.02
恶意金融活动(The Dyre Wolf):窃取企业超过100万美元的银行存款
2015.04.07
浏览更多
相关阅读
匿名者(Anonymous)组织再发声:将对以色列发动“电子大屠杀“运营商发行的大量路由器包含高危漏洞,大部分“问题路由器”IP位于中国疑似俄罗斯黑客报复,荷兰三大银行及税务机构遭DDoS攻击FreeBSD服务器遭入侵Buf早餐铺 | WannaCry作者从比特币钱包提现;被FBI逮捕的WannaCry安全专家拒绝认罪
特别推荐
关注我们 分享每日精选文章
活动预告
11月
FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月
【16课时-连载中】挖掘CVE不是梦(系列课程2)
已结束
10月
【首节课仅需1元】挖掘CVE不是梦
已结束
9月
【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank
文章评论