WhatsApp minulý měsíc opravil bezpečnostní mezeru ve svých desktopových aplikacích, které potenciálně mohly hackerům umožnit přístup k místním souborům vašeho počítače. Tato chyba zabezpečení, kterou objevil výzkumný pracovník v oblasti kybernetické bezpečnosti ve společnosti PerimeterX, ovlivnila klienty Windows a Mac služby zasílání zpráv, když byli spárováni s iPhone.
Chyba byla nalezena v zásadách zabezpečení obsahu WhatsApp, což je další vrstva zabezpečení, kterou společnosti často používají, aby zabránily určité sadě útoků, a umožnily nebezpečným aktérům manipulovat se zprávami a odkazy prostřednictvím metody zvané Cross-Site Scripting.
Když uživatel klepne na jeden z těchto znehodnocených textů, nevědomky udělí útočníkovi oprávnění číst místní soubory v počítači a také vkládat škodlivé kódy. Zatímco zranitelnost vyžadovala interakci uživatele, aby fungovala, bylo možné ji spustit na dálku.
„Zranitelnost aplikace WhatsApp Desktop při spárování s aplikací WhatsApp pro iPhone umožňuje skriptování mezi weby a čtení místních souborů. Využití této zranitelnosti vyžaduje, aby oběť klikla na náhled odkazu ze speciálně vytvořené textové zprávy, “napsala mateřská společnost Facebook v bezpečnostním zpravodaji.
Tato chyba ovlivňuje sestavení aplikace WhatsApp Desktop před verzí v0.3.9309 a WhatsApp pro verze pro iPhone před verzí 2.20.10. Bylo opraveno 21. ledna 2020. Proto, abyste byli v bezpečí, pokračujte a aktualizujte aplikaci WhatsApp ve svém počítači a iPhonu.
„Starší verze rámce Chromium v prohlížeči Google Chrome, jak jsou používány zranitelnými verzemi desktopové aplikace WhatsApp, jsou náchylné k těmto vkládáním kódu, ačkoli novější verze prohlížeče Google Chrome mají ochranu před takovými úpravami JavaScriptu. Jiné prohlížeče, jako je Safari, jsou těmto zranitelnostem stále dokořán, “vysvětlil zakladatel a technický ředitel společnosti PerimeterX Ido Safruti.
Tato chyba zabezpečení nemá dopad na Android, protože na rozdíl od iOS má zavedenou další ochranu proti bannerům Javascript. „IOS tuto kontrolu vynechal, což umožnilo načítání bannerů se škodlivým obsahem na zařízeních iOS,“ dodal mluvčí PerimeterX.
V posledním roce měl WhatsApp potíže s udržováním bezpečnostních zranitelností. V listopadu opravil gigant pro zasílání zpráv na Facebooku chybu, která mohla hackerům umožnit převzít kontrolu nad telefonem pouze se souborem MP4. Před několika týdny bylo zjištěno, že stejná chyba také narušila telefon a citlivá data Amazonu Jeffa Bezose. Generální ředitel společnosti Telegram později, v kousavém příspěvku na blogu, obvinil společnost WhatsApp ze záměrného zasazování zadních vrátek pro donucovací orgány a maskování je jako chyby, když jsou chyceni.
