新闻链接：http://www.freebuf.com/news/53490.html
新闻时间：2014-12-04
新闻正文：
<img data-original="http://image.3001.net/images/20141204/14176577708942.png!small" src="http://image.3001.net/images/20141204/14176577708942.png!small" title="1.png" style="display: inline;">
两名年仅17岁的印度安全研究人员发现热门应用WhatsApp中存在漏洞，攻击者可以通过向受害者发送特定的消息使对方的应用崩溃。WhatsApp是一款流行的即时通讯手机APP，相当于美国版微信。

特殊消息导致应用崩溃

这两名印度自由安全研究者叫做Indrajeet Bhuyan和Saurav Kar，令人惊讶的是他们都是年仅17岁的少年。他们演示了如何利用该漏洞使对方的WhatsApp应用崩溃。

在视频中他们向我们进行了展示：仅使用大约2KB左右的特殊字符集消息就能让WhatsApp应用崩溃。

<img data-original="http://image.3001.net/images/20141204/14176592617355.png!small" src="http://image.3001.net/images/20141204/14176592617355.png!small" title="QQ截图20141204101346.png" style="display: inline;">

以前WhatsApp曾出现过这么一种攻击手段：向对方发送超大的消息（超过7MB）,然后让受害者的应用和设备迅速崩溃。

当下的这种新手法只需2KB左右大小的消息就能实现。更糟糕的是，用户如果收到了这样特定的消息，将不得不把与消息发送人的历史聊天对话删除，然后开始新的对话。因为如果不完全删除聊天对话，应用程序就会一直处于崩溃的状态，无法进行正常的聊天。

漏洞适用版本和应用范围

该漏洞已经在多个版本的安卓系统下测试成功，其中包括Jellybean（Android 4.1）, Kitkat（Android 4.4）及其以下的安卓版本。

举一反三，如果在WhatsApp群里有一些令人讨厌的成员，你可以通过这种手法给他发送消息，逼迫他自行删除群，实现强制踢人。同样，如果你不想让某人保留一些不可告人的聊天记录，你也可以发送这样的“攻击消息”给他……

这个漏洞还没有在IOS上测试过。但可以肯定的是，不管在什么系统上，WhatsApp的2.11.431和2.11.432版本都受影响。当然，这个漏洞在windows8.1上的WhatsApp是不起作用的。

他们在这里提供了漏洞攻击测试视频，大家可以看看：

Youtube视频源：https://www.youtube.com/watch?v=yqU9-eRj5Cc

WhatsApp的其他介绍

WhatsApp今年2月份被Facebook以190亿美元收购，截止2014年10月，WhatsApp已有6亿的用户。据安全研究人员所述，受该漏洞影响的用户群达5亿左右。

WhatsApp近期号称致力于在线隐私保护和全球的用户安全，默认对文本消息进行端对端（end-to-end）的加密，这可是一个浩大的工程。WhatsApp的创始人把这个举动称为“历史上最大的端对端加密部署”。

[参考来源thehackernews，译/FreeBuf小编dawner，来自FreeBuf.COM]

[招生]系统0day安全班，企业级设备固件漏洞挖掘，Linux平台漏洞挖掘！