Το WhatsApp επέστρεψε ένα κενό ασφαλείας στις εφαρμογές της για επιτραπέζιους υπολογιστές τον περασμένο μήνα που θα μπορούσε ενδεχομένως να επιτρέψει στους εισβολείς να έχουν πρόσβαση στα τοπικά αρχεία του υπολογιστή σας. Ανακαλύφθηκε από έναν ερευνητή στον τομέα της ασφάλειας στον κυβερνοχώρο στο PerimeterX, η ευπάθεια επηρέασε τους πελάτες των Windows και Mac της υπηρεσίας ανταλλαγής μηνυμάτων όταν ζευγαρώθηκαν με ένα iPhone.
Το ελάττωμα εντοπίστηκε στην Πολιτική Ασφαλείας Περιεχομένου του WhatsApp, μια εταιρεία επιπέδου επιπλέον ασφάλειας που συχνά χρησιμοποιούν για να αποτρέψουν ένα συγκεκριμένο σύνολο επιθέσεων και επέτρεψαν σε κακόβουλους ηθοποιούς να χειραγωγούν μηνύματα και συνδέσμους μέσω μιας μεθόδου που ονομάζεται Cross-Site Scripting.
Όταν ένας χρήστης πατούσε ένα από αυτά τα νοθευμένα κείμενα, θα έδινε εν αγνοία τους στον εισβολέα δικαιώματα για να διαβάσει τα τοπικά αρχεία του υπολογιστή του, καθώς και για να εισάγει κακόβουλους κωδικούς. Ενώ η ευπάθεια απαιτούσε αλληλεπίδραση από τον χρήστη για να λειτουργήσει, ήταν δυνατό να την εκτελέσετε εξ αποστάσεως.
«Μια ευπάθεια στην επιφάνεια εργασίας WhatsApp όταν συνδυάζεται με το WhatsApp για iPhone επιτρέπει τη δημιουργία σεναρίων μεταξύ τόπων και την ανάγνωση τοπικών αρχείων Η εκμετάλλευση της ευπάθειας απαιτεί από το θύμα να κάνει κλικ σε μια προεπισκόπηση συνδέσμου από ένα ειδικά κατασκευασμένο μήνυμα κειμένου », έγραψε η μητρική εταιρεία Facebook σε μια συμβουλή ασφαλείας.
Το σφάλμα επηρεάζει τις εκδόσεις της επιφάνειας εργασίας WhatsApp πριν από την έκδοση v0.3.9309 και τις εκδόσεις WhatsApp για iPhone πριν από τις 2.20.10. Διορθώθηκε στις 21 Ιανουαρίου 2020. Επομένως, για να διασφαλίσετε ότι είστε ασφαλείς, προχωρήστε και ενημερώστε την εφαρμογή WhatsApp στον υπολογιστή και το iPhone σας.
"Παλαιότερες εκδόσεις του πλαισίου Chromium του Google Chrome, όπως χρησιμοποιούνται από τις ευάλωτες εκδόσεις της εφαρμογής για επιτραπέζιους υπολογιστές WhatsApp, είναι ευαίσθητες σε αυτές τις ενέσεις κώδικα, αν και οι νεότερες εκδόσεις του Google Chrome έχουν προστασία από τέτοιες τροποποιήσεις JavaScript. Άλλα προγράμματα περιήγησης όπως το Safari εξακολουθούν να είναι ευρέως ανοιχτά σε αυτές τις ευπάθειες », εξήγησε ο ιδρυτής και CTO του PerimeterX, Ido Safruti.
Η ευπάθεια δεν επηρεάζει το Android, διότι σε αντίθεση με το iOS, έχει επιπλέον προστασία έναντι πανό Javascript. "Το iOS παρέλειψε αυτόν τον έλεγχο, το οποίο επέτρεψε τη φόρτωση πανό με κακόβουλο περιεχόμενο σε συσκευές iOS", πρόσθεσε ένας εκπρόσωπος της PerimeterX.
Τον τελευταίο χρόνο, το WhatsApp δυσκολεύτηκε να διατηρήσει τις ευπάθειες ασφαλείας. Τον Νοέμβριο, ο γίγαντας ανταλλαγής μηνυμάτων που ανήκει στο Facebook επέστρεψε ένα ελάττωμα που θα μπορούσε να επιτρέψει στους χάκερ να πάρουν τον έλεγχο ενός τηλεφώνου με ένα μόνο αρχείο MP4. Λίγες εβδομάδες πριν, διαπιστώθηκε ότι το ίδιο σφάλμα έβλαψε επίσης το τηλέφωνο και τα ευαίσθητα δεδομένα του Jeff Bezos του Amazon. Ο Διευθύνων Σύμβουλος της Telegram αργότερα, σε μια ανασταλτική δημοσίευση ιστολογίου, κατηγόρησε το WhatsApp ότι σκόπιμα φύτεψε υπαίθρια για τις υπηρεσίες επιβολής του νόμου και τα αποκάλυψε ως σφάλματα όταν πιάστηκαν.
