IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Bezpečnostní chyba ve WhatsApp umožňuje hackerům přístup k souborům vašeho PC

whatsapp web

Výzkumník v oblasti kybernetické bezpečnosti nedávno zveřejnil technické podrobnosti mnoha závažných bezpečnostních chyb programu WhatsApp, které by mohli ohrozit bezpečnost souborů miliard uživatelů.

Pokud by se tyto problémy spojily dohromady, mohli by hackeři krást vaše soubory z počítače s Windows nebo macOS díky desktopové aplikaci WhatsApp pouhým odesláním speciálně vytvořené zprávy.

Chyby objevil výzkumník PerimeterX Gal Weizman a označil je jako CVE-2019-18426. Nedostatečné zabezpečení se vyskytovalo konkrétně ve WhatsApp Web – tedy desktopové verzi tohoto populárního messengeru. Weizman ve svém blogu uvedl, že WhatsApp Web byl zranitelný vůči potencionálně nebezpečné chybě s přesměrováním, která vedla k přetrvávajícím útokům na skripty skrz stránky, které mohly být vyvolány zasláním speciálně vytvořené zprávy cíleným uživatelům WhatsApp.

V případě, že si tuto zprávu otevřela nic netušící oběť skrz WhatsApp Web, umožnila tak útočníkům provádění libovolných scriptů. Kromě toho nesprávně nakonfigurovaná politika zabezpečení obsahu ve webové doméně WhatsApp Web umožnila výzkumníkovi načíst užitečná zatížení XSS libovolné délky pomocí prvku iframe ze samostatné webové stránky ovládané útočníkem na internetu.

„Pokud by byla pravidla CSP dobře nakonfigurována, síla získaná tímto XSS by byla mnohem menší. Možnost obejít konfiguraci CSP umožňuje útočníkovi ukrást cenné informace oběti, snadno načíst externí užitečná zatížení a mnohem více“ řekl Gal Weizman.

Weizman demonstroval útok skrz WhatsApp na soubor hosts dané oběti umístěný ve složce Windows. Weizman tyto problémy v loňském roce zodpovědně nahlásil bezpečnostnímu týmu Facebooku, který poté opravil nedostatky a vydal aktualizovanou verzi své desktopové aplikace a také Weizmana odměnil částkou 12 500 USD v rámci programu společnosti na opravu chyb.