Szerző: Hlács Ferenc

2020. szeptember 4. 10:36

Dedikált weboldalon követhetők a WhatsApp sebezhetőségei

A felületen a Facebook nem csak az új hibákat teszi közzé, azon 2018-ig visszamenőleg megtalálhatók a chatapp biztonsági rései.

HIRDETÉS

Új weboldalt indít a WhatsAppban felfedezett biztonsági hibák követésére a Facebook, amelyen a chatalkalmazásban talált, már javított sérülékenységeket gyűjti össze. Az oldalon a vállalat már most közzétett hat, eddig nem publikált sebezhetőséget.

A weboldallal a cég igyekszik transzparensebbé tenni szolgáltatásának javítási folyamatait. Ezzel a Facebook a chatalkalmazás közösségének jó ideje hangoztatott kérésének tesz eleget, a cég szerint ugyanis visszatérő igény volt egy központosított felület létrehozása a biztonsági rések rendszerezésére. Az orvosolt hibákról a vállalat nem tud minden patch kiadási jegyzeteiben részletesen beszámolni az appoknak otthont adó alkalmazásboltok irányelvei miatt, legtöbbször csak átfogóan "biztonsági javításként" utal rájuk.

whatsappill

A felületet a vállalat havonta frissíti majd, illetve ha szükséges, például aktív támadás esetén, ennél gyakrabban is. Az oldalon nem csak a friss sebezhetőségeket sorolja fel a cég, archívumában egészen 2018-ig visszamenőleg végignézhetők a WhatsAppban, illetve az app által használt, harmadik féltől származó librarykben orvosolt hibák.

A biztonsági weboldal élesítésével közzétett, 2020-as sebezhetőségek között többféle súlyosságú hibát is találni, a CVE-2020-1894 kód alatt követett biztonsági rés például az androidos, illetve az iOS-es WhatsApp és WhatsApp Business appokban is tetszőleges kódfuttatást tett lehetővé a potenciális támadók számára egy megfelelően preparált hangüzenettel, a CVE-2020-1889-as pedig az asztali klienst érintette, és az Electron sandboxból adott kijutási lehetőséget.

Az új oldalon felsorolt bugok között nem csak a támadók által élesben is kihasznált, már foltozott sérülékenységek találhatók, a Facebook minden, az alkalmazásban javított hibát közzétesz a felületen, akkor is, ha nincs támadásra utaló jel az adott bug kapcsán.

a címlapról