WhatsApp minulý mesiac opravil medzeru v zabezpečení svojich aplikácií pre stolné počítače, ktorá mohla potenciálne umožniť hackerom prístup k miestnym súborom vo vašom počítači. Zraniteľnosť, ktorú objavil výskumný pracovník v oblasti kybernetickej bezpečnosti v spoločnosti PerimeterX, ovplyvnila zraniteľnosť klientov systému Windows a Mac zasielania správ, keď boli spárovaní s iPhone.
Chyba sa našla v politike zabezpečenia obsahu spoločnosti WhatsApp, ktorú spoločnosti využívajúce dodatočnú vrstvu zabezpečenia často používajú na zabránenie určitej množine útokov a umožnili zlomyseľným aktérom manipulovať so správami a odkazmi metódou nazývanou Cross-Site Scripting.
Ak by používateľ klepol na jeden z týchto falšovaných textov, nevedomky by útočníkovi udelil povolenie na čítanie miestnych súborov v počítači a na vkladanie škodlivých kódov. Aj keď zraniteľnosť vyžadovala pre fungovanie interakciu používateľa, bolo možné ju vykonať na diaľku.
„Zraniteľnosť v aplikácii WhatsApp Desktop, keď je spárovaná s aplikáciou WhatsApp pre iPhone, umožňuje skriptovanie medzi lokalitami a čítanie miestnych súborov. Využitie tejto zraniteľnosti si vyžaduje, aby obeť klikla na náhľad odkazu zo špeciálne vytvorenej textovej správy, “napísala materská spoločnosť Facebook v bezpečnostnom zpravodaji.
Táto chyba ovplyvňuje zostavenie WhatsApp Desktop pred verziou v0.3.9309 a WhatsApp pre verzie pre iPhone pred verziou 2.20.10. Oprava bola vykonaná 21. januára 2020. Preto, aby ste boli v bezpečí, pokračujte a aktualizujte aplikáciu WhatsApp na počítači a iPhone.
„Staršie verzie rámca Chromium v prehliadači Google Chrome, ako ich používajú zraniteľné verzie počítačovej aplikácie WhatsApp, sú náchylné na tieto vloženia kódu, aj keď novšie verzie prehliadača Google Chrome majú ochranu proti takýmto úpravám JavaScriptu. Ostatné prehliadače, ako napríklad Safari, sú týmto zraniteľnostiam stále dokorán, “vysvetlil zakladateľ a technický riaditeľ spoločnosti PerimeterX Ido Safruti.
Zraniteľnosť nemá vplyv na Android, pretože na rozdiel od iOS má zavedenú dodatočnú ochranu pred bannermi Javascript. „Systém iOS vynechal túto kontrolu, ktorá umožňovala načítanie bannerov so škodlivým obsahom na zariadeniach so systémom iOS,“ dodal hovorca spoločnosti PerimeterX.
Za posledný rok WhatsApp ťažko udržiaval bezpečnostné chyby. V novembri gigant pre zasielanie správ, ktorý vlastní spoločnosť Facebook, opravil chybu, ktorá mohla hackerom umožniť prevziať kontrolu nad telefónom iba so súborom MP4. Pred niekoľkými týždňami sa zistilo, že rovnaká chyba ovplyvnila aj telefón a citlivé dáta Amazonu Jeffa Bezosa. Generálny riaditeľ Telegramu neskôr v štipľavom blogovom príspevku obvinil spoločnosť WhatsApp, že zámerne vysádzal zadné vrátka pre orgány činné v trestnom konaní a maskoval ich ako chyby, keď ich chytia.
