Дослідник із безпеки Gal Weizman з компанії PerimeterX розкрив технічні подробиці ряду небезпечних уразливостей (об’єднані під загальним ідентифікатором CVE-2019-18426), виявлених в настільній версії месенджера WhatsApp. З їх допомогою зловмисники могли віддалено викрасти файли з комп’ютерів під управлінням Windows або macOS.
Зокрема, фахівець виявив потенційно небезпечну уразливість типу Open Redirect (відкриті перенаправлення), яка дозволяла провести XSS-атаку шляхом відправки спеціально сформованого повідомлення. Якщо жертва перегляне шкідливе повідомлення, атакуючий зможе виконати довільний код у контексті домену WhatsApp.
Ще одна проблема полягала в неправильно налаштованій політиці безпеки контенту (Content Security Policy, CSP) на web-домені WhatsApp, що дозволяла завантажувати корисні XSS-навантаження за допомогою iframe з підконтрольного зловмисникові сайту.
“Якби правила CSP були коректно налаштовані, вплив XSS-атаки виявився б набагато меншим. Можливість обійти конфігурацію CSP дозволяла зловмисникові вкрасти цінну інформацію жертви, легко завантажити зовнішні корисні навантаження і багато іншого”, – зазначив фахівець.
Він продемонстрував атаку віддаленого читання файлу через WhatsApp, отримавши доступ до вмісту файлу hosts з комп’ютера жертви. Як зазначив дослідник, вразливість відкритого перенаправлення також могла використовуватися для маніпулювання URL-банерами – попередній перегляд домену, який WhatsApp відображає одержувачам при отриманні повідомлення, що містить посилання.
Вейцман повідомив про свою знахідку Facebook, і компанія випустила виправлену десктопну версію месенджера.
Зверніть увагу, з 1 лютого WhatsApp не буде працювати на мільйонах iPhone та Android-пристроях, які використовують застарілі версії операційних систем. Застарілими вважаються iOS 8 і Android 2.3.7 Gingerbread та всі, що були до них.
Також нову активність вже відомої групи кіберзлочинців Winnti зафіксували фахівці з кібербезпеки. Цього разу ціллю зловмисників стали університети Гонконгу. Можливою ціллю зловмисників було викрадення конфіденційних даних з пристроїв жертв.
Окрім цього, компанія Twitter розкрила подробиці про кібератаки, в ході яких сторонні особи використовували офіційний API компанії для зіставлення телефонних номерів з іменами користувачів соціальної мережі.
Нагадаємо, дослідники з університету Бен-Гуріон змогли обдурити популярні системи автопілотів, використовуючи сприйняття ними проектованих зображень як справжніх та змусили машини гальмувати або заїжджати на зустрічні смуги на автотрасі.
До речі, якщо Ви не користуєтесь необмеженим стільниковим або широкосмуговим зв’язком, використовуєте повільне з’єднання або просто хочете обмежити кількість даних, які споживає Ваш пристрій, у iOS є прихована функція, яка допоможе Вам зробити це.
