Обновление - Ошибка WhatsApp предоставила злоумышленникам доступ к локальным файлам!

Есть ли в WhatsApp множество уязвимостей или просто многие ищут их?

Спросите исследователя PerimeterX Гал Вейцмана, который в прошлом году начал изучать самую популярную в мире платформу обмена сообщениями, чтобы выяснить, сможет ли он выявить какие-либо новые слабости.

Конечно же, на этой неделе мы узнали, что он обнаружил множество уязвимостей, которые привели его к восхитительному недостатку межсайтового скриптинга (XSS), затрагивающему рабочий стол WhatsApp для Windows и macOS в сочетании с WhatsApp для iPhone.

На этой неделе он был помечен как CVE-2019-18426. Это слабость пользователей iPhone WhatsApp для настольных компьютеров, которые будут рады увидеть обратную сторону.

Непосредственная проблема была вызвана пробелом в WhatsApp Content Security Policy (CSP), уровне безопасности, используемом для защиты от распространенных типов атак, включая XSS.

Используя модифицированный JavaScript в специально созданном сообщении, злоумышленник может использовать это для подачи жертвам фишинговых и вредоносных ссылок в предварительных просмотрах веб-ссылок таким образом, чтобы он был невидим для жертвы.

По словам Вейцмана, это возможно для удаленного использования, хотя пользователям все равно придется нажимать на ссылку, чтобы атака была успешной.

Однако его также можно использовать для получения разрешения на чтение в локальной файловой системе, то есть для доступа к файлам и их открытия, а также для удаленного выполнения кода (RCE).

Основная проблема заключается в том, что настольный компьютер WhatsApp использует более старые версии Google Chromium Framework, написанные с использованием кроссплатформенной платформы Electron. Это удобный способ разработки веб-приложений, которые также работают на настольных компьютерах. Но, как говорится в исследовании PerimeterX, это:

Подвержен этим инъекциям кода, хотя более новые версии Google Chrome имеют защиту от таких модификаций JavaScript. Другие браузеры, такие как Safari, все еще широко открыты для этих уязвимостей.

Тем не менее, лучшие правила в CSP программного обеспечения могли бы уменьшить большую часть XSS, как и обновление Electron, сказал Вейцман:

Когда обновляется Chromium, ваше приложение на базе Electron также должно обновляться, в противном случае вы оставляете своих пользователей уязвимыми для серьезных эксплойтов без веской причины!

Уязвимые версии WhatsApp Desktop до версии 0.3.9309 в сочетании с версиями WhatsApp для iPhone до версии 2.20.10.

Это не первый раз, когда WhatsApp требуется исправление для обеспечения безопасности. Недавние инциденты включали в себя недостаток MP4, который мог привести к RCE, и еще один, связанный с вредоносными Gif-файлами с таким же эффектом на Android.

В мае прошлого года группа национальных государств использовала серьезный нулевой день в WhatsApp, чтобы попытаться установить шпионское ПО на цели, просто позвонив им. В 2018 году исследователи Google обнаружили недостаток, который мог бы поставить под угрозу устройство, опять же с помощью простого вызова.

Возможно, проблема здесь не в WhatsApp, а в сложной природе современных приложений обмена сообщениями в сочетании с готовностью исследователей (и злоумышленников) охотиться за ними в приложении связи номер один в мире.

Несмотря на все хваленые функции безопасности, у злоумышленников есть сильный стимул заглянуть в кишки приложения на предмет дыр в безопасности, которые могут подорвать это. Если вы пользователь WhatsApp, помните, что это скоро не изменится.