WhatsApp Bug kunne ha tillatt hackere å lese filene dine

WhatsApp lappet et sikkerhetshull i stasjonære apper i forrige måned som potensielt kunne ha gitt hackere tilgang til datamaskinens lokale filer. Oppdaget av en cybersecurity-forsker ved PerimeterX, påvirket sårbarheten meldingstjenestens Windows- og Mac-klienter da de ble parret med en iPhone.

Feilen ble funnet i WhatsApps innholdssikkerhetspolicy, et ekstra sikkerhetslag selskaper ofte bruker for å forhindre et bestemt sett med angrep og gjort det mulig for ondsinnede aktører å manipulere meldinger og lenker gjennom en metode som kalles Cross-Site Scripting.

Når en bruker trykker på en av disse forfalskede tekstene, vil de ubevisst gi angriperen tillatelse til å lese datamaskinens lokale filer, samt å injisere ondsinnede koder. Mens sårbarheten krever interaksjon fra brukeren for å fungere, var det mulig å utføre det eksternt.

“Et sårbarhet i WhatsApp Desktop når det er paret med WhatsApp for iPhone, tillater skripting på tvers av nettsteder og lokal fillesing. Å utnytte sårbarheten krever at offeret klikker på en forhåndsvisning av en lenke fra en spesiallaget tekstmelding, ”skrev morselskapet Facebook i en sikkerhetsrådgivning.

Feilen påvirker WhatsApp Desktop-bygninger før v0.3.9309 og WhatsApp for iPhone-versjoner før 2.20.10. Den ble løst 21. januar 2020. For å sikre at du er trygg, oppdaterer du WhatsApp-appen på datamaskinen og iPhone.

“Eldre versjoner av Google Chromes Chromium-rammeverk, som brukes av de sårbare versjonene av WhatsApp-skrivebordsprogrammet, er utsatt for disse kodeinnsprøytningene, selv om nyere versjoner av Google Chrome har beskyttelse mot slike JavaScript-modifikasjoner. Andre nettlesere som Safari er fortsatt åpne for disse sårbarhetene, ”forklarte PerimeterXs grunnlegger og CTO, Ido Safruti.

Sårbarheten påvirker ikke Android, i motsetning til iOS har den ytterligere beskyttelse mot Javascript-bannere. "IOS utelatt denne sjekken, som gjorde det mulig å laste bannere med ondsinnet innhold på iOS-enheter," la en talsmann for PerimeterX til.

Det siste året har WhatsApp hatt vanskelig for å holde sikkerhetsproblemer utenfor. I november lappet den Facebook-eide meldingsgiganten en feil som kunne la hackere ta kontroll over en telefon med bare en MP4-fil. For noen uker tilbake ble det funnet at den samme feilen også kompromitterte Amazons Jeff Bezos 'telefon og sensitive data. Telegrams administrerende direktør beskyldte senere, i et skarp blogginnlegg, WhatsApp for bevisst å plante bakdører for politimyndigheter og maskere dem som feil når de ble fanget.

Siste innlegg

$config[zx-auto] not found$config[zx-overlay] not found