Помилка WhatsApp могла дозволити хакерам читати ваші файли

Минулого місяця WhatsApp виправила лазівку у своїх робочих програмах, що могло дозволити хакерам отримати доступ до локальних файлів вашого комп’ютера. Виявлена ​​дослідником кібербезпеки в PerimeterX, вразливість вплинула на клієнтів Windows і Mac служби обміну повідомленнями, коли вони були з'єднані з iPhone.

Помилка була виявлена ​​в Політиці безпеки вмісту WhatsApp, додатковий рівень безпеки, яку компанії часто використовують для запобігання певному набору атак, і дозволяв зловмисним акторам маніпулювати повідомленнями та посиланнями за допомогою методу, що називається міжсайтовим сценарієм.

Коли користувач натискає на один із цих фальсифікованих текстів, вони несвідомо надають зловмисникові дозволи на читання локальних файлів свого комп’ютера, а також на введення шкідливих кодів. Хоча вразливість вимагала взаємодії від користувача для функціонування, її можна було виконати віддалено.

“Уразливість WhatsApp Desktop у парі з WhatsApp для iPhone дозволяє виконувати міжсайтові сценарії та локальне читання файлів. Використання вразливості вимагає від жертви натискання попереднього перегляду посилання зі спеціально створеного текстового повідомлення », - написала материнська компанія Facebook у рекомендації з безпеки.

Помилка впливає на збірки WhatsApp Desktop до версії 0.3.9309 та WhatsApp для версій iPhone до 2.20.10. Це було виправлено 21 січня 2020 року. Тому, щоб переконатися, що ви в безпеці, оновіть додаток WhatsApp на комп’ютері та iPhone.

«Старіші версії фреймворку Google Chrome Chromium, що використовуються вразливими версіями настільного додатка WhatsApp, сприйнятливі до цих ін’єкцій коду, хоча новіші версії Google Chrome мають захист від таких модифікацій JavaScript. Інші браузери, такі як Safari, все ще широко відкриті для цих вразливостей », - пояснив засновник і технічний директор PerimeterX Ідо Сафруті.

Уразливість не впливає на Android, оскільки на відміну від iOS, вона має додатковий захист від банерів Javascript. "IOS пропустив цю перевірку, що дозволило завантажувати банери зі шкідливим вмістом на пристрої iOS", - додав представник PerimeterX.

Протягом останнього року WhatsApp важко утримував недоліки безпеки. У листопаді гігант обміну повідомленнями, що належить Facebook, виправив недолік, який міг дозволити хакерам взяти під контроль телефон лише за допомогою файлу MP4. Кілька тижнів тому було виявлено, що ця сама помилка також порушила телефон Джеффа Безоса від Amazon і конфіденційні дані. Пізніше генеральний директор Telegram у своєму з'їдливому дописі в блозі звинуватив WhatsApp у навмисному влаштуванні бекдорів для правоохоронних органів та маскуванні їх як помилок, коли їх ловлять.

Останні повідомлення