Один из популярнейших мессенджеров не так безопасен, как хотелось верить. Специалист по кибербезопасности компании PerimeterX Гал Вейцман обнаружил многочисленные уязвимости в версии WhatsApp для десктопов. Всем уязвимостям был присвоен общий идентификационный код CVE-2019-18426.
Обнаруженные проблемы позволяли подделывать текстовое содержимое и ссылки в предварительном просмотре веб-сайтов, чтобы отображать ложный контент и измененные вредоносные ссылки. Такого рода уязвимости могут стать лазейкой для фишинговых кампаний и распространения вредоносных программ, ими могут воспользоваться вымогатели. Учитывая, что WhatsApp ежемесячно пользуются около 1,5 миллиарда человек, можно представить масштаб потенциальных атак.
Вейцману удалось найти проблему в неправильной настройке Политики безопасности контента (CSP), используемой WhatsApp, которая позволяет совершить XSS-атаку. Путем простого изменения кода JavaScript можно было модифицировать сообщения до их доставки получателю. Из-за этого пользователи могли получить вредоносный код или ссылку, вставленные в изначально безобидные сообщения. Взаимодействие пользователя с вредоносным сообщением могло дать злоумышленникам удаленный доступ к файловой системе компьютера.
Более старые версии Google Chrome, используемые уязвимыми версиями настольного приложения WhatsApp, пропускают такие модификации JavaScript, тогда как более новые защищены от них. В то же время другие браузеры, к примеру, Safari, все ещё уязвимы.
Компания Facebook, которой сейчас принадлежит WhatsApp, уже выпустила патч с обновлением версии мессенджера для десктопов. Но пользователям старых версий следует быть осторожными, обращая внимание на сообщения определённого типа, которые могут оказаться поддельными. По информации Вейцмана, они должны содержать в себе текст «javascript:».