WhatsApp a remediat luna trecută o lacună de securitate în aplicațiile sale pentru desktop, care ar fi putut permite hackerilor să acceseze fișierele locale ale computerului. Descoperită de un cercetător de securitate cibernetică la PerimeterX, vulnerabilitatea a afectat clienții serviciului de mesagerie Windows și Mac atunci când erau asociați cu un iPhone.
Defectul a fost găsit în Politica de securitate a conținutului WhatsApp, un strat suplimentar de securitate pe care companiile îl folosesc adesea pentru a preveni un anumit set de atacuri și a făcut posibil ca actorii rău intenționați să manipuleze mesajele și linkurile printr-o metodă numită Cross-Site Scripting.
Atunci când un utilizator atingea unul dintre aceste texte adulterate, îi acorda atacatorului, fără să știe, permisiunile de a citi fișierele locale ale computerului, precum și de a injecta coduri rău intenționate. În timp ce vulnerabilitatea a necesitat interacțiunea utilizatorului pentru a funcționa, a fost posibilă executarea acestuia de la distanță.
„O vulnerabilitate în WhatsApp Desktop atunci când este asociată cu WhatsApp pentru iPhone permite scripturi între site-uri și citirea fișierelor locale. Exploatarea vulnerabilității necesită ca victima să facă clic pe o previzualizare a unui link dintr-un mesaj text special conceput ”, a scris compania-mamă Facebook într-un aviz de securitate.
Bug-ul afectează versiunile WhatsApp Desktop înainte de v0.3.9309 și versiunile WhatsApp pentru iPhone înainte de 2.20.10. A fost remediat pe 21 ianuarie 2020. Prin urmare, pentru a vă asigura că sunteți în siguranță, continuați și actualizați aplicația WhatsApp de pe computer și iPhone.
„Versiunile mai vechi ale cadrului Chromium al Google Chrome, utilizate de versiunile vulnerabile ale aplicației desktop WhatsApp, sunt susceptibile la aceste injecții de cod, deși versiunile mai noi ale Google Chrome au protecție împotriva unor astfel de modificări JavaScript. Alte browsere, cum ar fi Safari, sunt încă larg deschise la aceste vulnerabilități ”, a explicat fondatorul și directorul tehnic al PerimeterX, Ido Safruti.
Vulnerabilitatea nu are impact pe Android, deoarece, spre deosebire de iOS, are protecții suplimentare împotriva bannerelor Javascript. „IOS a omis această verificare, care a permis încărcarea bannerelor cu conținut rău intenționat pe dispozitivele iOS”, a adăugat un purtător de cuvânt al PerimeterX.
În ultimul an, WhatsApp a avut dificultăți în menținerea vulnerabilităților de securitate. În noiembrie, gigantul de mesagerie deținut de Facebook a remediat un defect care ar fi putut permite hackerilor să preia controlul unui telefon cu doar un fișier MP4. Cu câteva săptămâni în urmă, s-a constatat că același bug a compromis și telefonul lui Jeff Bezos și datele sensibile ale Amazonului. Ulterior, CEO-ul Telegram, într-o postare de blog dur, a acuzat WhatsApp că a plantat în mod deliberat ușile din spate pentru agențiile de aplicare a legii și le-a mascat ca niște erori atunci când este prins.
