WhatsApp posiada poważną lukę. Wystarczy jedna wiadomość, żeby dostać się do plików

WhatsApp kontynuuje kiepską passę po tym, jak niedawno ujawniono włamanie się do iPhone'a Jeffa Bezosa przez aplikację WhatsApp. Kolejny poważny problem został ujawniony, tym razem przez Gala Weizmana, który opisał cały proces na blogu PerimeterX. Analityk bezpieczeństwa nie szczędził krytyki właścicielom komunikatora. Luka pozwalała na przeglądanie plików użytkownika aplikacji desktopowej zarówno dla Windows jak i Mac.

Prosty błąd pozwala uzyskać dostęp do plików
Prosty błąd pozwala uzyskać dostęp do plików
Arkadiusz Stando

Według analizy Weizmana, w prosty sposób dało się uzyskać dostęp do przeglądania plików na komputerze każdego użytkownika WhatsApp. Luka CVE-2019-18426 została teoretycznie już załatana dzięki pomocy jej odkrywcy. Ciężko uwierzyć, że w 2020 roku komunikator posiadający ponad 1,5 miliarda użytkowników może posiadać taki błąd.

Poważna luka w WhatsAppie – natychmiast aktualizuj aplikację na PC

Luka umożliwiała wysłanie dowolnego linka (w tym przypadku JavaScript), pozostawiając ustawioną wcześniej miniaturkę. A więc, jeśli przykładowo podaliśmy url Facebook.com, podgląd naszej wiadomości generował już logo Facebooka wraz z jego opisem strony. Jednak nawet po zmianie wpisywanego adresu, miniaturka wraz z informacjami o witrynie pozostawała. Wystarczyło napisać odpowiednio długą wiadomość, aby link ukrył się pod nakładką read more.

Źródło: Gal Weizman / perimeterx.com
Źródło: Gal Weizman / perimeterx.com

Ten błąd umożliwił Weizmanowi przeprowadzenie ataku Persistent-XSS przy wykorzystaniu kodu JavaScript. Następnie w teorii już bez problemu zdobył dostęp do przeglądania plików na komputerze. Tą możliwość potwierdzili analitycy bezpieczeństwa Facebooka, a następnie wprowadzili łatkę dotyczącą desktopowej wersji WhatsApp v0.3.9309. Jeśli nie posiadacie wyższej wersji aplikacji, należy natychmiast ją aktualizować.

Źródło: Gal Weizman / perimeterx.com
Źródło: Gal Weizman / perimeterx.com

Sprawa jest o tyle przykra, że tak trywialny błąd mógł wykryć i wykorzystać każdy. Na szczęście dla części użytkowników, przeglądarki oparte na Chromium otrzymały mniej więcej w czasie wykrycia luki ważną aktualizację bezpieczeństwa. Nie pozwalały już na przypadkowe uruchomienie JavaScriptu.

Inny ekspert ds. cyberbezpieczeństwa, Patrick Wardle z Jamf oraz twórca Objective-See w kontaktując się z serwisem Mashable zwrócił uwagę na poważny problem. Często desktopowe wersje aplikacji nie są tak dobrze sprawdzane, oraz tworzone jak mobilne. I przez to często są otwarte na wiele rodzajów ataków – tłumaczy analityk.

WhatsApp na Windows i Mac jest dostępny w naszym katalogu oprogramowania.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (14)