В программном коде WhatsApp обнаружено 6 новых уязвимостей
WhatsApp, принадлежащий Facebook выявил шесть ранее не известных уязвимостей, которые компания уже исправила. Об уязвимостях сообщается на специальном веб-сайте с рекомендациями по безопасности, который будет служить новым ресурсом, содержащим полный список обновлений безопасности WhatsApp и связанных с ними общих уязвимостей и уязвимостей (CVE).
WhatsApp сказал, что пять из шести уязвимостей были исправлены в тот же день, а устранение оставшейся ошибки заняло пару дней. Хотя некоторые из ошибок могли быть использованы удаленно, компания заявила, что не обнаружила свидетельств того, что хакеры активно применяли эти уязвимости для атак.
Примерно одна треть новых уязвимостей была обнаружена в рамках программы Bug Bounty, а остальные были обнаружены в ходе рутинных проверок кода и с использованием автоматизированных систем, как и следовало ожидать.
WhatsApp - один из самых популярных мессенджеров, который насчитывает более двух миллиардов пользователей по всему миру. Из-за этого, приложение становится частой целью для хакеров, которые пытаются найти и использовать уязвимости в платформе.
Новый веб-сайт был запущен в рамках усилий компании по обеспечению большей прозрачности в отношении уязвимостей, нацеленных на приложение для обмена сообщениями, и в ответ на отзывы пользователей. Компания заявляет, что сообщество WhatsApp просило создать централизованное место для отслеживания уязвимостей безопасности, поскольку WhatsApp не всегда может подробно описать свои рекомендации по безопасности в примечаниях к выпуску приложения из-за политик магазина приложений.
Новая панель инструментов будет обновляться ежемесячно или раньше, если она должна предупреждать пользователей об активной атаке. Инструмент также предложит архив прошлых CVE, относящихся к 2018 году. Хотя основное внимание веб-сайта будет уделяться CVE в коде WhatsApp, если компания отправит CVE в общедоступную базу данных MITER для уязвимости, обнаруженной в стороннем коде, она будет обозначать это также на странице рекомендаций по безопасности WhatsApp.
В прошлом году WhatsApp стал публичным после исправления уязвимости, предположительно использованной израильским производителем шпионского ПО NSO Group. WhatsApp подала в суд на производителя шпионского ПО, утверждая, что компания использовала уязвимость для тайной установки своего шпионского ПО Pegasus примерно на 1400 устройств, среди владельцов которых было более 100 правозащитников и журналистов.
NSO Group опровергло обвинения.
Джон Скотт-Рейлтон, старший научный сотрудник Citizen Lab, в чью работу входило исследование группы NSO приветствовал новость.
"Это хорошо, и мы знаем, что злоумышленники используют обширные ресурсы для обнаружения и использования уязвимостей", - сказал он в интервью
В своем сообщении в блоге WhatsApp сказал: "Мы очень привержены принципам прозрачности, и этот ресурс предназначен для того, чтобы помочь более широкому технологическому сообществу воспользоваться последними достижениями в наших усилиях по обеспечению безопасности. Мы настоятельно рекомендуем всем пользователям следить за обновлением своего WhatsApp в соответствующих магазинах приложений и обновлять свои мобильные операционные системы при появлении обновлений".
Facebook также заявил в четверг, что компания систематизировала свою политику раскрытия уязвимостей, это позволит предупреждать разработчиков об уязвимостях в стороннем коде, на который полагаются Facebook и WhatsApp.
