WhatsApp logowanie na wielu urządzeniach

WhatsApp na PC z poważnym błędem – przyczyną poważne zaniedbanie wydawcy

Newsy

Facebook naprawił krytyczną lukę w zabezpieczeniach komunikatora WhatsApp na PC. Umożliwiała ona dostęp do lokalnego systemu plików na Windowsie i Mac OS, a nawet możliwość zdalnej instalacji wirusów. Luka, która według amerykańskiego Narodowego Instytutu Standaryzacji i Technologii ma stopień ważności 8,2, została odkryta przez badacza bezpieczeństwa Gal Weizman z PerimeterX. Okazuje się jednak, że to dopiero wierzchołek góry lodowej. Jednak nie uprzedzajmy faktów.

WhatsApp na PC naprawiony

WhatsApp na PC naprawiony

Jej początki sięgają 2017 roku, kiedy to odkrył on możliwość zmiany tekstu czyjejś odpowiedzi. Wtedy Weizman zdał sobie sprawę, że może tworzyć autentycznie wyglądające wiadomości przy pomocy plików multimedialnych, które przekierowują cel do wybranego przez siebie miejsca. Dzięki temu badacz bezpieczeństwa był w stanie wykorzystać JavaScript do uzyskania trwałego XSS za pomocą jednego kliknięcia. Na tym jednak nie zakończył swojej pracy. Ostatecznie był w stanie zwiększyć moc trwałego XSS, omijając reguły CPS WhatsApp. Wtedy też zdał sobie sprawę, że zdalne wykonywanie kodu jest również możliwe.

Nie przegap
Co oznacza dla programisty brak usług Google?
jedna aplikacja gms hms jak to zrobic programowanie
Na pewno wielu z Was zwróciła dziś uwagę na premierę smartfonów Huawei z serii P40. Właśnie ruszyła ich przedsprzedaż, a to oznacza, że już niedługo do pierwszych użytkowników trafią flagowe smartfony inne niż te, do których się przyzwyczailiśmy. Największa różnica polega na tym, że brak w nich usług Google. Zamiast w Google Mobile Services (GMS) będą wyposażone […]

Zobacz też: Apple Watch jest popularniejszy od szwajcarskich zegarków. Wszystkich.

Po dokładnej analizie odkrytych mechanizmów badacz zdał sobie sprawę, że to wszystko działa z błahego powodu. Otóż ta wersja aplikacji WhatsApp została oparta na Chrome 69. Czyli mocno już przestarzałej wersji przeglądarki. Tak właśnie opisał swoje odkrycie:

Ta luka została znaleziona, gdy Chrome 78 był stabilną wersją! Kilka wersji wcześniej, błąd umożliwiający dokonanie takiej ingerencji został naprawiony, Gdyby WhatsApp zaktualizował swoją aplikację Electron z wersji 4.1.4 do najnowszej, która wynosiła 7.x.x, to w momencie znalezienia tej luki ten XSS nigdy by nie istniał!

Mamy więc tutaj do czynienia z rażącym zaniedbaniem ze strony wydawcy aplikacji. W tym wypadku wystarczyło jedynie aktualizować na bieżąco wszystkie składowe narzędzia, z którego korzysta komunikator.

Źródło: TechSpot






Przewiń stronę, by przeczytać kolejny wpis
x