В найпопулярнішому месенджері знайшли серйозну вразливість

Дослідник Гал Вaйцман (Gal Weizman), що працює в сфері інформаційної безпеки, розкрив технічні подробиці деяких вразливостей високого ступеня небезпеки, які були виявлені їм в популярному месенджері WhatsApp. На даний момент уразливості, що дозволяли зловмисникам віддалено викрадати файли з ПК під управлінням Windows і macOS, усунені розробником.

У повідомленні йдеться про те, що небезпечні уразливості були виявлені в настільних версіях клієнта WhatsApp для платформ Windows і macOS, а також в веб-версії додатка. Експлуатація вразливостей дозволяла зловмисникам отримати віддалений доступ до файлів користувача і передбачала відправку жертві спеціально створеного повідомлення. Нічого не підозрючому користувачеві могло прийти повідомлення, більше схоже на код, ніж на звичайний текст, перегляд якого дозволяв зловмисникам здійснити виконання довільного коду в контексті веб-домену WhatsApp.

Крім того, неправильно налаштована політика безпеки контенту в веб-домені WhatsApp дозволяла здійснювати міжсайтовий скриптинг, використовуючи для цього iframe з окремого ресурсу, що знаходиться під контролем зловмисників. Ще дослідник використовував вразливості месенджера для отримання прав на віддалене читання файлів всередині атакуємої системи.

Ще в минулому році Вайцман повідомив про знайдені вразливості службу безпеки Facebook, яка перевірила дані і випустила відповідне оновлення для усунення проблем. В рамках програми винагород за виявлені вразливості в продуктах компанії Facebook дослідник отримав $ 12 500.