Спецпроекты

WhatsApp позволил тайно читать чужие файлы на ПК под macOS и Windows

7644
Безопасность Техника

Используя уязвимость в мессенджере WhatsApp, злоумышленники могли распространять любой вредоносный код и ссылки незаметно для жертвы и даже получать доступ к его файлам на десктопе.

«Дыра» в WhatsApp

Facebook исправил критическую уязвимость в мессенджере WhatsApp, которая в теории могла позволить злоумышленнику незаметно рассылать вредоносные программы и получать доступ к локальным файлам на компьютере жертвы. Сама по себе уязвимость крылась в десктоп-приложении WhatsApp Desktop в версиях до 0.3.9309; ее эксплуатация была возможна только при параллельном использовании WhatsApp для iPhone версий ниже 2.20.10.

Обнаруживший баг эксперт компании PerimeterX Гал Вайцман (Gal Weizman) отметил, что речь идет об ошибке в системе безопасности Content Security Policy, открывавшей возможность для межсайтового скриптинга в десктоп-приложении.

Вайцману удалось с помощью этой уязвимости получить доступ к локальным файлам на компьютерах под macOS и Windows, в том числе из системных каталогов. Плюс к этому, уязвимость позволяла встраивать в отправляемые жертвам сообщения вредоносный код и ссылки, которые, по словам экспертов, были бы «ненатренированному глазу» совершенно незаметны.

whatsapp600.jpg
Баг в WhatsApp позволял незаметно рассылать вредоносные программы

Ничто не мешало произвести массовую рассылку таких сообщений: подобная уязвимость стала бы прекрасным способом распространения вредоносных программ и фишинговых операций.

Уязвимость получила индекс CVE-2019-18426 и оценку 8,2 балла из 10 возможных по шкале CVSS 3.x. На данный момент баг исправлен.

Жертв могло быть много

«Эксплуатация такой уязвимости требовала соблюдения нескольких условий, однако в них не было ничего экзотичного, — говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — Аудитория WhatsApp насчитывает около 1,5 млрд. человек в месяц. Даже если исходить из того, что под угрозой оказывалась лишь относительно небольшой процент от этого количества, число потенциальных жертв все равно было бы огромным».



Тема месяца

Почему программные роботы стали вдруг так популярны?

В связке с ИИ они способны выполнять контрольные и управленческие функции.

Точки роста

На какие проекты расходуется четвертый по величине региональный ИКТ-бюджет

Игорь Никитин

министр ИТ Пермского края