即時通訊服務Telegram在周末發布了修復程序，以防止黑客濫用語音郵件賬戶、獲得對其它用戶賬戶的訪問權限。過去幾個月，巴西的千餘名Telegram用戶一直在受到所謂的“語音信箱黑客劫持”事件的困擾。受害者中甚至包括了一些當地的政客，比如巴西總統Jair Bolsonaro、司法部長Sergio Moro、以及經濟部長Paulo Guedes 。

Play應用商店截圖（via ZDNet）

那麼，黑客又是如何攻破Telegram 賬戶防線的呢？據悉，問題出在將Telegram 賬戶添加到新設備的過程。

用戶可以請求通過語音消息呼叫，將短信驗證碼發送到賬戶所有者的手機上。如果用戶三次未能接聽電話、或忙於應答另一通電話，則該密碼會被發送到用戶指定運營商的語音信箱賬戶。

然後，黑客會利用VoIP 服務來偽裝自己，忽悠出受害者的電話號碼、使用默認的0000 或1234 密碼（大多數用戶並不會更改）來訪問語音信箱，以獲取Telegram 的登錄密碼。

如此一來，攻擊者就獲得了在新設備上添加Telegram 賬戶的一次性密碼。之後，攻擊者可劫持合法賬戶來發送垃圾郵件，或者挖掘巴西政客的消息歷史。

慶幸的是，Telegram 在周末推出了一個修復程序，能夠阻止這方面的攻擊得逞。該公司發言人在接受ZDNet 採訪時稱：

“若您的賬戶啟用了兩步驗證，就只能通過賬戶綁定的號碼來獲取”。

Telegram 證實，該修復程序已面向所有Telegram 用戶推出，因為受影響的不僅僅是巴西當地的用戶。

自2017 年以來，這一攻擊已經被許多人所知曉。此前，同樣的招數還在WhatsApp 身上發生過。

之後，安全研究人員證實同樣的漏洞可被用於劫持Facebook、谷歌、Twitter、WordPress、eBay 或PayPal 等服務。