Исследователь кибербезопасности Гэл Вайзман сообщил об обнаружении очередной уязвимости в мессенджере WhatsApp. Речь идет о бреши в системе безопасности мессенджера, которая позволяла злоумышленникам получить доступ к личным данным жертвы через десктопную версию — как для Windows, так и для MacOS.
Как объяснил «Газете.Ru» консультант Центра информационной безопасности компании «Инфосистемы Джет» Глеб Карманов, обнаруженная уязвимость позволяла удаленно получить доступ к локальным файлам компьютера. Для осуществления атаки хакеру требовалось отправить пользователю всего одно сообщение, которое на деле является замаскированной гиперссылкой. Злоумышленник мог подделать ссылку так, чтобы она была очень похожей на адрес популярного ресурса, при этом окошко с предпросмотром ссылки также выглядело бы аутентично.
При переходе пользователя WhatsApp по поддельной ссылке осуществлялся запрос указанного злоумышленником файла, который открывался на чтение, при этом сам пользователь мог быть переадресован на сайт популярного ресурса.
«Такая уязвимость оказалась возможна по нескольким причинам. Во-первых, баннер с предпросмотром ссылки генерируется на отправляющей стороне и не фильтруется на принимающей, что позволяло ее подделать.
Во-вторых, оказалось, что веб- и десктоп-клиенты мессенджера работали на устаревших версиях ПО.
Это дало возможность использовать техники межсайтового скриптинга, которые заключаются во внедрении вредоносного кода в выдаваемую веб-системой страницу», — сообщил эксперт.
По словам старшего инженера по мобильной безопасности Avast Войтеха Бочека, приложение WhatsApp для ПК было уязвимо для так называемой XSS-атаки.
«Злоумышленник мог отправить в чат специально созданную ссылку, которая будет выполнять код JavaScript на компьютере жертвы, когда она перейдет по ней. Это плохо само по себе, и при этом ситуация еще усугубляется неправильной настройкой приложения на платформе Electron, которую WhatsApp использует в десктопной версии. Песочница безопасности была деактивирована из-за плохой настройки приложения», — сообщил Бочек.
Гэл Вайзман описал обнаруженную им проблему в своем блоге, возмутившись тому, что «на дворе 2020 год», а некоторые приложения все еще позволяют получить полный доступ к системе пользователя и удаленно выполнять код при помощи единственного заготовленного заранее сообщения.
ИБ-эксперт Jamf Патрик Уордл в беседе с Mashable отметил, что зачастую десктопные версии приложений подвергаются менее строгим проверкам безопасности, чем мобильные, из-за чего они гораздо больше подвержены хакерским атакам.
«Очень интересный баг с большим потенциалом по охвату огромного количества пользователей (я сам пользуюсь десктопным WhatsApp), так что я рад, что он был обнаружен, и что Facebook (владелец компания Meta признана в России экстремистской и запрещена) его быстро устранил», — заявил Уордл.
В компании Facebook, владеющей WhatsApp, отказались сообщить, сколько пользователей могли быть подвержены этой атаке, и пострадал ли кто-нибудь из них.
В последнее время атаки на WhatsApp становятся пугающе частыми, что вызывает большое количество негатива в адрес мессенджера. Одним из самых известных критиков WhatsApp является создатель конкурирующего приложения Telegram Павел Дуров, который периодически публикует посты с призывами удалить мессенджер от Facebook и никогда им больше не пользоваться.
В конце января Дуров вновь раскритиковал WhatsApp, заявив о том, что приложение является уязвимым для злоумышленников и сотрудников силовых структур. Причиной для публикации стали новости о взломе смартфона главы Amazon Джеффа Безоса, который предположительно был совершен властями Саудовской Аравии при помощи сообщения в WhatsApp.
«Атака, по-видимому, исходила от иностранного правительства, вполне вероятно, что и другие бизнесмены и чиновники стали ее жертвами», — подчеркнул создатель Telegram.
Он добавил, что сейчас удалить WhatsApp с гаджетов рекомендует своим сотрудникам ООН, а окружению президента США Дональда Трампа и вовсе советуют купить новые телефоны.