虽然他们以传输中强烈加密邮件而闻名，但像WhatsApp和Telegram这样的应用程序可能无法始终保证文件在手机上安全。今天，赛门铁克的研究人员解释了黑客如何使用恶意应用程序巧妙地改变通过服务发送的媒体文件。

WHATSAPP通过外部存储存储媒体

在Android上，应用程序可以选择通过只能通过应用程序访问的内部存储或其他应用程序可以更广泛使用的外部存储来保存媒体(如图像和音频文件)。默认情况下，WhatsApp通过外部存储存储媒体，当应用程序的“保存到图库”功能启用时，Telegram会这样做。

据研究人员称，该设计意味着具有外部存储访问权限的恶意软件可用于访问WhatsApp和Telegram媒体文件，甚至可能在用户看到它们之前。例如，如果用户下载恶意应用程序，然后在WhatsApp上收到照片，黑客就可以在没有接收者注意的情况下操纵图像。理论上，黑客也可以改变传出的多媒体消息。

研究人员称此攻击为“媒体文件顶升”。在许多方面，这是一个已知问题，并且在Android上的消息应用的隐私和可访问性之间进行权衡。通过使用广泛使用的外部存储设置，应用程序与其他应用程序更兼容，允许图片和其他数据更自由地移动。但这带来了成本：去年，研究人员指出了类似的问题。

电报没有立即回复评论请求。WhatsApp的一位发言人表示，更改其存储系统会限制服务共享媒体文件的能力，甚至会引入新的隐私问题。发言人在一份声明中说：“WhatsApp已经密切关注这个问题，它与以前有关移动设备存储影响应用生态系统的问题类似。” “WhatsApp遵循操作系统为媒体存储提供的当前最佳实践，并期待提供符合Android正在进行的开发的更新。”

不过，这些不仅仅是任何消息应用程序。正如研究人员指出的那样，用户通常信任加密的应用程序“以保护发件人身份和邮件内容本身的完整性。”

“然而，”研究人员写道，“正如我们过去所提到的，没有代码可以免受安全漏洞的影响。”