Контакты
Подписка
МЕНЮ
Контакты
Подписка

В WhatsApp Web исправлена уязвимость, позволявшая выполнить код

В WhatsApp Web исправлена уязвимость, позволявшая выполнить код

В WhatsApp Web исправлена уязвимость, позволявшая выполнить код


09.09.2015



Злоумышленник мог проэксплуатировать брешь, отправив пользователю WhatsApp визитную карточку в формате vCard.  

 Исследователь Check Point Касиф Декел (Kasif Dekel) сообщил об уязвимостях в web-расширении для мобильных устройств популярного мессенджера WhatsApp – WhatsApp Web. Бреши позволяют злоумышленнику с помощью нового, сложного способа заставить жертву выполнить вредоносный код на своем устройстве.

 По словам Декела, все, что нужно для эксплуатации уязвимостей – это отправить пользователю WhatsApp "невинную" визитную карточку в формате vCard, содержащую вредоносный код. После открытия в WhatsApp Web содержащийся в визитке исполняемый файл запускается, инфицируя устройство различными видами вредоносного ПО, в том числе троянами-вымогателями, ботами, троянами удаленного доступа и пр.

 Для осуществления атаки злоумышленнику достаточно лишь знать привязанный к учетной записи номер телефона. WhatsApp Web позволяет пользователям просматривать любые виды медиаконтента и вложений, отправляемых в мобильном приложении (изображения, видео- и аудиофайлы, визитные карточки и т.д.). Расширение синхронизирует смартфоны с настольными компьютерами, так что доступ к данным можно осуществлять с любого устройства.

 По данным на сентябрь 2015 года, мессенджер WhatsApp насчитывает 900 млн пользователей в месяц, 200 из которых используют web-расширение. Уязвимости исправлены во всех версиях WhatsApp Web, начиная с 0.1.4481. 

Источник:
securitylab.ru