Исследователь Гал Вaйцман (Gal Weizman), работающий в сфере информационной безопасности, раскрыл технические подробности некоторых уязвимостей высокой степени опасности, которые были обнаружены им в популярном мессенджере WhatsApp. На данный момент уязвимости, позволявшие злоумышленникам удалённо похищать файлы с ПК под управлением Windows и macOS, устранены разработчиком.
В сообщении говорится о том, что опасные уязвимости были обнаружены в настольных версиях клиента WhatsApp для платформ Windows и macOS, а также в веб-версии приложения. Эксплуатация уязвимостей позволяла злоумышленникам получить удалённый доступ к пользовательским файлам и предусматривала отправку жертве специально созданного сообщения. Ничего не подозревающему пользователю могло прийти сообщение, больше похожее на код, чем на обычный текст, просмотр которого позволял злоумышленникам осуществить выполнение произвольного кода в контексте веб-домена WhatsApp.
Кроме того, неправильно настроенная политика безопасности контента в веб-домене WhatsApp позволяла осуществлять межсайтовый скриптинг, используя для этого iframe с отдельного ресурса, находящегося под контролем злоумышленников. Ещё исследователь использовал уязвимости мессенджера для получения прав на удалённое чтение файлов внутри атакуемой системы.
Ещё в прошлом году Вайцман уведомил о найденных уязвимостях службу безопасности Facebook, которая проверила данные и выпустила соответствующее обновление для устранения проблем. В рамках программы вознаграждений за обнаруженные уязвимости в продуктах компании Facebook исследователь получил $12 500.