พบช่องโหว่บน WhatsApp กับ Telegram ทำให้สามารถขโมยไฟล์มีเดียของผู้ใช้ได้

นักวิจัยด้านความปลอดภัยจาก Symantec ได้ออกมาแสดงวิธีการโจมตีผ่านช่องโหว่บน WhatsApp กับ Telegram ช่องโหว่นี้จะช่วยให้แฮกเกอร์สามารถขโมยไฟล์มีเดียของเหยื่อได้

การโจมตีนี้มีชื่อเรียกว่า “Media File Jacking” ซึ่งมีผลกระทบกับอุปกรณ์ Android ที่ติดตั้งแอพ WhatsApp กับ Telegram

ปกติแล้ว WhatsApp ที่ติดตั้งบน Android จะถูกตั้งค่าให้เก็บไฟล์มีเดียไว้ที่ external storage ส่วน Telegram นั้นจะเก็บไว้ที่ internal storage ซึ่งจะไม่อนุญาตให้แอพอื่นๆ เข้าถึงไฟล์เหล่านี้ได้

แต่ผู้ใช้ Telegram ส่วนใหญ่จะเปลี่ยนการตั้งค่าการจัดเก็บไฟล์เป็น external storage แทน โดยตั้งให้เป็น “Save to Gallery” แทน เพื่อใช้ในการแชร์ไฟล์เหล่านี้บนแอพพลิเคชั่นอื่นๆ เช่น Gmail, Facebook Messenger หรือ WhatsApp

แฮกเกอร์จะใช้การโจมตีแบบ man-in-the-disk โดยสร้างแอพพลิเคชั่นขึ้นมา เมื่อผู้ใช้ทำการติดตั้งแอพที่แฮกเกอร์สร้างขึ้น แฮกเกอร์จะสามารถดักขโมยข้อมูลไฟล์มีเดีย อาทิเช่น รูปภาพส่วนตัว, เอกสาร หรือวิดีโอ ระหว่างที่ผู้ใช้ส่งข้อมูลไปยัง external storage ได้ ดังภาพ


ที่มาภาพ: The Hacker News

เมื่อแฮกเกอร์ขโมยข้อมูลได้แฮกเกอร์จะนำข้อมูลเหล่านี้ ไปใช้ประโยชน์ต่างๆ ยกตัวอย่างเช่น

  • จัดการเปลี่ยนภาพถ่ายของเหยื่อ ดังตัวอย่างจากวิดีโอ

ที่มาวิดีโอ: The Hacker News

  • หลอกให้ชำระเงิน แฮกเกอร์อาจส่งใบแจ้งค่าบริการไปหาผู้ใช้คนอื่นได้ เพื่อหลอกให้โอนเงินมาให้ ดังตัวอย่างจากวิดีโอ

ที่มาวิดีโอ: The Hacker News

  • ปลอมแปลงไฟล์ Audio แฮกเกอร์อาจจะสร้างไฟล์เสียงขึ้น โดยอาศัยเทคโนโลยีที่มีอยู่ในปัจจุบัน ส่งไปหลอกผู้ใช้คนอื่นๆ ได้ ดังตัวอย่างจากวิดีโอ

ที่มาวิดีโอ: The Hacker News

  • กระจายข่าวปลอม ในส่วนของ Telegram แฮกเกอร์จะใช้สิทธิ์ในระดับแอดมินปล่อยข่าวปลอมผ่านทาง “channels” ไปยังสมาชิก

จากปัญหาที่พบนี้ทาง Symantec ได้แจ้งไปยัง Telegram และ Facebook/WhatsApp เรียบร้อยแล้ว แต่ทาว Telegram หรือ Facebook/WhatsApp เชื่อว่าปัญหานี้ทาง Google จะเป็นผู้แก้ไข โดยแพทช์อัพเดทจะออกมาพร้อมกับแพทช์อัพเดท Android Q

ในระหว่างที่รอแพทช์อัพเดท สามารถป้องกันการโจมตีได้โดย ปิดการตั้งค่า การบันทึกไฟล์มีเดียที่ external storage โดย

  • WhatsApp: Settings → Chats → Turn the toggle off for ‘Media Visibility’
  • Telegram: Settings → Chat Settings → Disable the toggle for ‘Save to Gallery’

ที่มา: The Hacker News