新的WhatsApp漏洞可能会让黑客在你的设备上秘密安装间谍软件

最近围绕WhatsApp黑客攻击的争议尚未平息，世界上最受欢迎的消息平台可能再次陷入波澜。

《黑客新闻》获悉，上个月WhatsApp悄悄修补了其应用程序中的另一个关键漏洞，该漏洞可能让攻击者远程入侵目标设备，并可能窃取存储在这些设备上的安全聊天信息和文件。

追踪为CVE-2019-11931— 是一个基于堆栈的缓冲区溢出问题，以前的WhatsApp版本解析MP4文件的基本流元数据的方式存在该问题，导致拒绝服务或远程代码执行攻击。

要远程攻击该漏洞，攻击者只需输入目标用户的电话号码，并通过WhatsApp向他们发送恶意创建的MP4文件，最终可以通过编程在受损设备上静默安装恶意后门或间谍软件应用程序。

该漏洞影响消费者以及WhatsApp在所有主要平台上的企业应用，包括谷歌Android、苹果iOS和微软Windows。

根据WhatsApp的所有者Facebook发布的一条建议，受影响的应用程序版本列表如下：

• Android versions before 2.19.274
• iOS versions before 2.19.100
• Enterprise Client versions before 2.25.3
• Windows Phone versions before and including 2.18.368
• Business for Android versions before 2.19.104
• Business for iOS versions before 2.19.100

新修补的漏洞的范围、严重性和影响似乎与最近的WhatsApp VoIP呼叫漏洞类似，该漏洞被以色列NSO集团利用，在全球近1400台目标Android和iOS设备上安装Pegasus间谍软件。

在撰写本文时，尚不清楚在Facebook了解并修补MP4漏洞之前，该漏洞是否也曾被利用为零日攻击。

黑客新闻已经联系Facebook和WhatsApp征求意见，我们一收到他们的回复就会更新文章。

同时，如果你认为自己是一个潜在的监视目标，并在最近几个月收到了一个随机的，意想不到的MP4视频文件在WhatsApp上，你应该更加关注这个事件的即将到来的发展。

WhatsApp MP4漏洞发生在Facebook起诉NSO集团滥用WhatsApp服务瞄准其用户的两周后。

然而，至少在印度，它并没有按预期进行，这家社交媒体巨头本身也受到了政府的审查，政府对其端到端加密应用程序的安全性提出了质疑，而不是追查NSO集团针对100多名公民的攻击。

目前，建议所有用户确保自己的设备上运行的是最新版本的WhatsApp，并禁止从应用程序设置中自动下载图像、音频和视频文件。

Update —Whatsapp的一名发言人证实了黑客的消息，即新报道的Whatsapp RCE漏洞没有在野外被利用来攻击其用户。

WhatsApp告诉THN：“WhatsApp一直在努力提高我们服务的安全性。我们根据行业最佳实践对我们已修复的潜在问题进行公开报告。在这种情况下，没有理由相信用户受到了影响。”。