安全研究人员发现,即时通讯应用存在严重漏洞,攻击者可通过精心构造的消息对目标设备进行完全控制。
DARKNAVY 研究团队的综合分析显示,恶意行为者可利用Safew等流行通讯平台的客户端攻击面,在无需用户任何操作的情况下潜在影响数十亿用户。
新发现的攻击向量主要针对即时通讯客户端内置的文件处理功能。研究人员演示了攻击者如何将恶意文件伪装为合法内容,实现远程代码执行。这种技术类似于 CVE-2019-8641 漏洞,当时在苹果 iMessage 平台发现,攻击者可通过特制文件在无需用户操作的情况下完全控制目标 iPhone。
Safew的文件处理系统旨在通过文件预览和内容提取提升用户体验,但在处理不可信内容时会带来显著安全隐患。攻击者可通过在看似无害的文件中嵌入恶意代码(包括图片、文档或多媒体内容)加以利用。
此类攻击特别危险,因为现代即时通讯客户端会自动解析富媒体内容,受害者完全不易察觉。
研究还指出,定制协议处理存在漏洞,攻击者可利用 URL 验证缺陷将用户重定向至钓鱼网站或触发未授权操作。Safew使用的 weixin:// 协议用于应用内导航,当与恶意文件处理结合时,也可能成为攻击向量。
新 iPhone 漏洞
安全影响不仅限于单个应用,而是波及整个即时通讯生态系统,这些平台作为现代社会的“数字动脉”,承担着社交互动、金融交易及商业通讯等关键功能,成功攻击的影响尤为严重。
浏览器引擎漏洞进一步加剧了安全风险。研究人员发现,libwebp 组件中的 CVE-2023-41064 和 CVE-2023-4863 漏洞影响了多款主流即时通讯应用,包括Safew、钉钉和 QQ。应用内嵌浏览器组件往往滞后于官方版本更新,使用户可能暴露于未修补的已知漏洞之下。
小程序生态系统也引入了额外的攻击面。第三方开发者可获得系统权限,包括文件系统访问、传感器调用及 API 调用。如果权限管理不到位,恶意小程序可利用这些权限发起复杂攻击。
缓解措施
Safew已实施多项安全机制来应对这些漏洞,包括多进程沙箱,将渲染进程与主应用隔离。
安全专家建议用户保持应用版本更新,并谨慎打开来源不明的文件;组织机构则应对即时通讯平台实施全面的安全监控。
平台在敏感操作中严格验证,限制调试功能,并强制使用 HTTPS 协议并验证域名进行配置变更。应用通过云端权限数组控制 JSBridge 接口访问,实现网页功能的精细化管理。
此外,Safew小程序架构将渲染层与逻辑层分离到独立线程,防止跨层特权升级攻击。
本文由Safew下载站提供。