आज चेक पॉइंट सिक्योरिटी के शोधकर्ता ने व्हाट्सएप और टेलीग्राम के खिलाफ एक नए अटैक की घोषणा की,इनका उद्देश्य चैट सेवाओं की प्रोसेस इमेज और मल्टीमीडिया फ़ाइलों दोनों को लक्षित करना है। व्हाट्सएप्प के केस में चेक पॉइंट एक ऐसी दुर्भावना पूर्ण इमेज को क्राफ्ट करने में सक्षम रहे जो कि दिखने में एक नार्मल प्रीव्यू की तरह ही लगती है,लेकिन ये मैलवेयर-laden HTML पेज के साथ होती है,एक बार लोड होने के बाद ये लोकल स्टोर्ड डेटा को प्राप्त कर लेगा और हमलावर आपके अकाउंट को हैक कर सकेंगे।
चेक पॉइंट के उत्पाद भेद्यता अनुसंधान के प्रमुख Oded Vanunu के अनुसार "एक साधारण सी दिखने वाले फोटोज को भेज कर अटैकर आपके अकॉउंट को नियंत्रण में कर सकतें है,मैसेज हिस्ट्री को एक्सेस कर सकतें है,आपने अब तक जो फोटोज शेयर की है उन सबको देख सकतें है और साथ ही साथ यूजर के बिहाफ पर मेसैज भी सेंड कर सकतें है।"
8 मार्च को दोनों सेवाओं पर vulnerability की सूचना दी गई थी, और दोनों ने आक्रमण के विरुद्ध रक्षा के लिए अपनी फ़ाइल अपलोड वेलिडेशन प्रोटोकॉल्स को बदल दिया है।
व्हाट्सएप के लिए, यूजर को एक लक्ष्य को ध्यान में रख कर ऐसी इमेज सेंट की जाएगी ,जिस से अव्यवहारिक रूप से यूजर का शोषण किया जा सके।टेलीग्राम पर शोषण करने के लिए यह भेद्यता और भी कठिन थी, जिससे उपयोगकर्ता को वीडियो चलाने की आवश्यकता होती थी और फिर इसे एक अलग क्रोम टैब में ओपन कर दिया जाता था। टेलीग्राम प्रतिनिधि के अनुसार ये बहुत ही साधारण यूजर इंटरेक्शन है।
एक व्हाट्सएप्प प्रवक्ता ने Verge को बताया कि "हमने व्हाट्सएप्प को लोगों और उनकी इंफॉर्मेशन्स को सुरक्षित रखने के लिए बनाया है। जब चेक पॉइंट ने हमे इस मुद्दे के बारे में बताया तब उसके अगले दिन ही हमने whatsapp for web के लिए एक अपडेट रिलीज़ कर दिया था।अगर आप भी लेटेस्ट वर्ज़न का इस्तेमाल कर रहें है तो अपने ब्राउज़र को फिर से स्टार्ट करें।"
परंपरागत ईमेल या चैट सेवाओं के विपरीत,व्हाट्सएप्प और टेलीग्राम में यूज़र्स के बीच भेजे गए मैसेज़ को कोई तीसरा व्यक्ति रीड नहीं कर सकता,क्योंकि एन्ड-टू-एन्ड डिस्क्रिप्शन इन दोनों सर्विस में लागू किया गया है। इस केस में दुर्भावनापूर्ण इमेज को यूज़र्स के पास भेजना और भी आसान होगया है क्योंकि कोई भी थर्ड पार्टी आपके मैसेज को नहीं देख सकती है और वायरस या सेवा का उपयोग कर भेजे गए अन्य दुर्भावनापूर्ण हमलों के लिए स्कैन करना अधिक कठिन है।
नवंबर में भी चेक पॉइंट ने एक मैलवेयर अभियान का पर्दाफाश किया जो Google Play Store में up-vote उत्पादों के लिए 1 मिलियन से अधिक एंड्रॉइड फोन को संक्रमित कर रहा था।