Касиф Декел, специалист в сфере информационной безопасности из Check Point, рассказал об уязвимостях в WhatsApp Web, веб-расширении для мобильных устройств популярного сервиса для отправки сообщений WhatsApp. Благодаря данным уязвимостям злоумышленник мог, взяв на вооружение новую, сложную методику, принудить пользователя выполнить вредоносный код на своем устройстве.
Как утверждает Декел, для использования уязвимостей нужно лишь послать пользователю WhatsApp визитную карточку в формате vCard, в которой содержится вредоносный код. Когда жертва откроет визитку в WhatsApp Web, произойдет запуск находящегося в ней исполняемого файла, который будет пытаться заразить устройство разными видами вредоносного программного обеспечения, включая троянские программы-вымогатели, ботов, троянские программы удаленного доступа.
Чтобы провести атаку, преступнику нужен только телефонный номер, привязанный к аккаунту. WhatsApp Web дает пользователям возможность просмотра любых разновидностей вложений и медиаконтента, отправка которых осуществляется в приложении. Расширение производит синхронизацию смартфонов с персональными компьютерами, что делает возможным доступ к данным с любого устройства.
Согласно информации на сентябрь 2015 года, сервисом WhatsApp ежемесячно пользуются 900 миллионов человек, из них 200 миллионов пользуются веб-расширением. Уязвимости устранены во всех версиях WhatsApp Web, начиная с 0.1.4481.