В WhatsApp Web исправлена уязвимость, позволявшая выполнить код

  • Автор темы Eva
  • Дата начала

Eva

Местный
Регистрация
3/4/15
Сообщения
866
Репутация
0
Реакции
1.778
RUB
0
Злоумышленник мог проэксплуатировать брешь, отправив пользователю WhatsApp визитную карточку в формате vCard.
a1ecb906285e0b6110a830e4743c851d.jpg


Исследователь Check Point Касиф Декел (Kasif Dekel) сообщил об уязвимостях в web-расширении для мобильных устройств популярного мессенджера WhatsApp – WhatsApp Web. Бреши позволяют злоумышленнику с помощью нового, сложного способа заставить жертву выполнить вредоносный код на своем устройстве.

По словам Декела, все, что нужно для эксплуатации уязвимостей – это отправить пользователю WhatsApp «невинную» визитную карточку в формате vCard, содержащую вредоносный код. После открытия в WhatsApp Web содержащийся в визитке исполняемый файл запускается, инфицируя устройство различными видами вредоносного ПО, в том числе троянами-вымогателями, ботами, троянами удаленного доступа и пр.

Для осуществления атаки злоумышленнику достаточно лишь знать привязанный к учетной записи номер телефона. WhatsApp Web позволяет пользователям просматривать любые виды медиаконтента и вложений, отправляемых в мобильном приложении (изображения, видео- и аудиофайлы, визитные карточки и т.д.). Расширение синхронизирует смартфоны с настольными компьютерами, так что доступ к данным можно осуществлять с любого устройства.

По данным на сентябрь 2015 года, мессенджер WhatsApp насчитывает 900 млн пользователей в месяц, 200 из которых используют web-расширение. Уязвимости исправлены во всех версиях WhatsApp Web, начиная с 0.1.4481.
 
Сверху Снизу