Используя уязвимость в мессенджере WhatsApp, злоумышленники могли распространять любой вредоносный код и ссылки незаметно для жертвы и даже получать доступ к его файлам на десктопе.

«Дыра» в WhatsApp

Facebook исправил критическую уязвимость в мессенджере WhatsApp, которая в теории могла позволить злоумышленнику незаметно рассылать вредоносные программы и получать доступ к локальным файлам на компьютере жертвы. Сама по себе уязвимость крылась в десктоп-приложении WhatsApp Desktop в версиях до 0.3.9309; ее эксплуатация была возможна только при параллельном использовании WhatsApp для iPhone версий ниже 2.20.10.

Обнаруживший баг эксперт компании PerimeterX Гал Вайцман (Gal Weizman) отметил, что речь идет об ошибке в системе безопасности Content Security Policy, открывавшей возможность для межсайтового скриптинга в десктоп-приложении.

Вайцману удалось с помощью этой уязвимости получить доступ к локальным файлам на компьютерах под macOS и Windows, в том числе из системных каталогов. Плюс к этому, уязвимость позволяла встраивать в отправляемые жертвам сообщения вредоносный код и ссылки, которые, по словам экспертов, были бы «ненатренированному глазу» совершенно незаметны.

Download Attachments