WhatsApp lappede et sikkerhedssmuthul i sine desktop-apps i sidste måned, der potentielt kunne have givet hackere adgang til din computers lokale filer. Opdaget af en cybersikkerhedsforsker hos PerimeterX, påvirkede sårbarheden messaging-tjenestens Windows- og Mac-klienter, da de blev parret med en iPhone.
Fejlen blev fundet inde i WhatsApps indholdssikkerhedspolitik, et ekstra sikkerhedslag, som virksomheder ofte anvender for at forhindre et bestemt sæt angreb og gjort det muligt for ondsindede aktører at manipulere beskeder og links via en metode kaldet Cross-Site Scripting.
Når en bruger trykker på en af disse forfalskede tekster, vil de ubevidst give angriberen tilladelse til at læse deres computers lokale filer samt til at injicere ondsindede koder. Mens sårbarheden krævede interaktion fra brugeren for at fungere, var det muligt at udføre det eksternt.
“En sårbarhed i WhatsApp Desktop, når den er parret med WhatsApp til iPhone, muliggør scripting på tværs af websteder og lokal fillæsning. Udnyttelse af sårbarheden kræver, at offeret klikker på et eksempel på et link fra en specielt udformet tekstbesked, ”skrev moderselskabet Facebook i en sikkerhedsrådgivning.
Fejlen påvirker WhatsApp Desktop builds før v0.3.9309 og WhatsApp til iPhone versioner før 2.20.10. Det blev rettet den 21. januar 2020. For at sikre, at du er sikker, skal du fortsætte med at opdatere WhatsApp-appen på din computer og iPhone.
“Ældre versioner af Google Chromes Chromium-ramme, som de sårbare versioner af WhatsApp-desktopapplikationen bruges, er modtagelige for disse kodeinjektioner, selvom nyere versioner af Google Chrome har beskyttelse mod sådanne JavaScript-ændringer. Andre browsere som Safari er stadig vidt åbne for disse sårbarheder, ”forklarede PerimeterXs grundlægger og CTO, Ido Safruti.
Sårbarheden påvirker ikke Android, i modsætning til iOS har den yderligere beskyttelse mod Javascript-bannere. "IOS udeladte denne kontrol, som gjorde det muligt at indlæse bannere med ondsindet indhold på iOS-enheder," tilføjede en PerimeterX-talsmand.
I det sidste år har WhatsApp haft svært ved at holde sikkerhedssårbarheder ude. I november lappede den Facebook-ejede messaging-gigant en fejl, der kunne have ladet hackere tage kontrol over en telefon med kun en MP4-fil. For et par uger tilbage blev det konstateret, at den samme fejl også kompromitterede Amazons Jeff Bezos 'telefon og følsomme data. Telegrams administrerende direktør beskyldte senere i et hårdt blogindlæg WhatsApp for bevidst at plante bagdøre til retshåndhævende myndigheder og maskere dem som bugs, når de blev fanget.
