Буквально 3 дня назад я писал о том что Павел Дуров довольно жестко высказался касательно безопасности WhatsApp.
Но WhatsApp по-прежнему работает не очень после того, как взломали iPhone Джефф Безос используя недавно обнаруженную уязвимость. Другая серьезная проблема была обнаружена, на этот раз Гал Вейцман, описал весь процесс в блоге PerimeterX . Аналитик по безопасности не пожалел критики для владельцев мессенджера. Эта уязвимость позволяла пользователям просматривать пользовательские файлы приложений для настольных компьютеров как для Windows, так и для Mac.
Что, Facebook, опять Apple виноваты?
Согласно анализу Вейсмана, было легко получить доступ к просмотру файлов на каждом компьютере пользователя WhatsApp. Уязвимость CVE-2019-18426 теоретически уже исправлена с помощью своего первооткрывателя. Трудно поверить, что в 2020 году мессенджер с более чем 1,5 миллиардами пользователей может иметь такую ошибку.
Серьезная уязвимость в WhatsApp - обновите приложение на ПК
Уязвимость позволяла отправлять любую ссылку (в данном случае JavaScript), оставляя предварительно установленный эскиз. Так, например, если мы указали URL-адрес Facebook.com, то при предварительном просмотре нашего сообщения уже был создан логотип Facebook и описание его страницы. Однако даже после изменения введенного адреса, миниатюра с информацией о сайте осталась. Достаточно было написать достаточно длинное сообщение, чтобы скрыть ссылку под оверлеем «читать дальше» .
Эта ошибка позволила Weizman запустить атаку Persistent-XSS с использованием JavaScript. Тогда он легко получил доступ к просмотру файлов на компьютере. Эта возможность была подтверждена аналитиками безопасности Facebook, а затем представила патч для настольной версии WhatsApp v0.3.9309. Если у вас нет более новой версии приложения, пожалуйста, обновите ее немедленно.
Дело настолько печальное, что каждый может обнаружить и использовать такую тривиальную ошибку. К счастью для некоторых пользователей, браузеры на основе Chromium получили важные обновления безопасности во время обнаружения уязвимостей. Они больше не позволили вам случайно запустить JavaScript.
Другой эксперт по кибербезопасности Патрик Уордл из Jamf и создатель Objective-С, связавшись с Mashable, указал на серьезную проблему. Часто настольные версии приложений не так хорошо проверяются и создаются, как мобильные. И именно поэтому они часто открыты для многих типов атак, - объясняет аналитик
