Уязвимости WhatsApp позволяли злоумышленникам получить доступ к файлам на ПК жертвы

Исследователь Гал Вaйцман (Gal Weizman), работающий в сфере информационной безопасности, раскрыл технические подробности некоторых уязвимостей высокой степени опасности, которые были обнаружены им в популярном мессенджере WhatsApp. На данный момент уязвимости, позволявшие злоумышленникам удаленно похищать файлы с ПК под управлением Windows и macOS, устранены разработчиком.

В сообщении говорится о том, что опасные уязвимости были обнаружены в настольных версиях клиента WhatsApp для платформ Windows и macOS, а также в веб-версии приложения. Эксплуатация уязвимостей позволяла злоумышленникам получить удаленный доступ к пользовательским файлам и предусматривала отправку жертве специально созданного сообщения. Ничего не подозревающему пользователю могло прийти сообщение, больше похожее на код, чем на обычный текст, просмотр которого позволял злоумышленникам осуществить выполнение произвольного кода в контексте веб-домена WhatsApp.

Кроме того, неправильно настроенная политика безопасности контента в веб-домене WhatsApp позволяла осуществлять межсайтовый скриптинг, используя для этого iframe с отдельного ресурса, находящегося под контролем злоумышленников. Еще исследователь использовал уязвимости мессенджера для получения прав на удаленное чтение файлов внутри атакуемой системы.

Еще в прошлом году Вайцман уведомил о найденных уязвимостях службу безопасности Facebook, которая проверила данные и выпустила соответствующее обновление для устранения проблем. В рамках программы вознаграждений за обнаруженные уязвимости в продуктах компании Facebook исследователь получил $12 500.