Szerző: Hlács Ferenc

2020. február 06. 12:56:00

A helyi fájlokhoz is hozzáférést adott az asztali WhatsApp kliens sebezhetősége

A kritikus hibát a Facebook már Windows és macOS platformokon is javította.

Kritikus biztonsági rést javított az asztali WhatsApp kliensben a Facebook, amely illetéktelenek számára is hozzáférést biztosított az adott számítógépen tárolt fájlokhoz, legyen szó Windowst vagy macOS-t futtató eszközökről, és akár phishing támadások előtt is utat nyitott.

A hibát Gal Weizman, a PerimeterX biztonsági szakértője fedezte fel: egy XSS vagy cross-site scripting sebezhetőségről van szó, amely a WhatsApp kliens által is használt, keresztplatformos Electron keretrendszer implementációjának gyengesége miatt bukkant fel a szoftverben. A kliens sérülékenysége kiemelten nagy biztonsági kockázatot hordoz, hiszen ahogy a ThreatPost is rámutat, az asztali WhatsApp 1,5 milliárd havi aktív felhasználóval rendelkezik. A CVE-2019-1842 kód alatt követett sebezhetőség az asztali kliens 0.3.9309-nél korábbi verziói mellett az iOS-es variáns 2.20.10-nél korábbi kiadásaiban is lehetővé teszi az XSS támadásokat, és a helyben tárolt fájlokhoz való hozzáférést.whatsappill

Mi történik egy mobilappal a születése után? Legtöbbször sajnos semmi. Ezen próbálunk változtatni egy ingyenes appmenedzsment meetuppal és egy 30 órás képzéssel.

Ehhez a támadóknak egy megfelelően preparált üzenetet kell elküldeniük a felhasználónak, aki ha lekattintja az abban található hivatkozást, áldozatul is esik a támadásnak. Az ügyet súlyosbítja, hogy a sebezhetőséget kihasználva a támadók az adott link előnézetét is módosítani tudják, így az első blikkre egy ártalmatlan oldalnak tűnhet, míg valójában kártékony felületre mutat. Mindez az előnézetekért felelős JavaScript kód módosításával érhető el - de utóbbival az előnézet mellett akár maga a hivatkozás is egy hiteles, biztonságos oldal címének álcázható.

Ahogy a kutató is rámutat, szerencsére a modern böngészők egy része már védelmet biztosít a hasonló, megtévesztő hivatkozások ellen, beleértve a friss Chrome-ot is, a Safari ugyanakkor például még nem rendelkezik a megfelelő védelemmel, valamint a Chromium framework régebbi kiadásai sem, amelyekre a WhatsApp kliens sebezhető verziói is támaszkodnak. A Facebook a fentebb említett verziókból már kigyomlálta a hibát és az új Chrome keretrendszerre ültette át azokat - aki eddig nem tette, érdemes a klienst haladéktalanul frissíteni.

a címlapról

Hirdetés

Mi történik egy mobilappal a születése után?

2020. február 27. 18:43

Legtöbbször sajnos semmi. Ezen próbálunk változtatni egy ingyenes appmenedzsment meetuppal és egy 30 órás képzéssel. A store-ban való megjelenés az igazi munka kezdete: mérés, mérés, mérés, adat, felhasználói visszajelzések kezelése, ASO, monetizálás, marketing... és így tovább.