WhatsApp posiada poważną lukę. Wystarczy jedna wiadomość, żeby dostać się do plików

Według analizy Weizmana, w prosty sposób dało się uzyskać dostęp do przeglądania plików na komputerze każdego użytkownika WhatsApp. Luka CVE-2019-18426 została teoretycznie już załatana dzięki pomocy jej odkrywcy. Ciężko uwierzyć, że w 2020 roku komunikator posiadający ponad 1,5 miliarda użytkowników może posiadać taki błąd.

Luka umożliwiała wysłanie dowolnego linka (w tym przypadku JavaScript), pozostawiając ustawioną wcześniej miniaturkę. A więc, jeśli przykładowo podaliśmy url Facebook.com, podgląd naszej wiadomości generował już logo Facebooka wraz z jego opisem strony. Jednak nawet po zmianie wpisywanego adresu, miniaturka wraz z informacjami o witrynie pozostawała. Wystarczyło napisać odpowiednio długą wiadomość, aby link ukrył się pod nakładką read more.

Ten błąd umożliwił Weizmanowi przeprowadzenie ataku Persistent-XSS przy wykorzystaniu kodu JavaScript. Następnie w teorii już bez problemu zdobył dostęp do przeglądania plików na komputerze. Tą możliwość potwierdzili analitycy bezpieczeństwa Facebooka, a następnie wprowadzili łatkę dotyczącą desktopowej wersji WhatsApp v0.3.9309. Jeśli nie posiadacie wyższej wersji aplikacji, należy natychmiast ją aktualizować.

Sprawa jest o tyle przykra, że tak trywialny błąd mógł wykryć i wykorzystać każdy. Na szczęście dla części użytkowników, przeglądarki oparte na Chromium otrzymały mniej więcej w czasie wykrycia luki ważną aktualizację bezpieczeństwa. Nie pozwalały już na przypadkowe uruchomienie JavaScriptu.

Inny ekspert ds. cyberbezpieczeństwa, Patrick Wardle z Jamf oraz twórca Objective-See w kontaktując się z serwisem Mashable zwrócił uwagę na poważny problem. Często desktopowe wersje aplikacji nie są tak dobrze sprawdzane, oraz tworzone jak mobilne. I przez to często są otwarte na wiele rodzajów ataków – tłumaczy analityk.

WhatsApp na Windows i Mac jest dostępny w naszym katalogu oprogramowania.