La versión web de WhatsApp tiene una falla crítica que podría permitir que un atacante obtenga acceso al archivo local – Ecoticias

El mensajero más grande del mundo (WhatsApp) por base de usuarios tiene una falla crítica en su versión de escritorio, que podría permitir que un atacante obtenga acceso a los archivos de almacenamiento local de la víctima e incluso infecte su dispositivo con malware al hacer que haga clic en una URL de carga aparentemente legítima. . Recientemente se descubrió y se corrigió de inmediato, pero divulgarlo al público es responsable de hacerlos conscientes de tales vulnerabilidades en el futuro.

Investigación y difusión

Gal Weizman, investigadora de seguridad cibernética y experta en JavaScript en Perimeter X, descubrió esto por primera vez vulnerabilidad y probado para explotación. ¡Y funcionó! Las fallas reales se descubrieron en dos cuestiones principales: Vista previa de URL y Mensaje de texto. Todo lo que hizo fue modificar el código JavaScript de un mensaje de texto o una vista previa de la URL que se envía al usuario.

La versión web de WhatsApp tiene una falla crítica que podría dar al atacante acceso al archivo local.
Imagen a través de PxFuel

La brecha que encontró en la Política de seguridad de contenido de WhatsApp si su versión web lo llevó a realizar Cross-Site Scripting (XSS). Aquí, logró eliminar el código y mirar el código JavaScript en un mensaje de texto y modificarlo con cualquier código malicioso que eventualmente llevaría al usuario a convertirse en una víctima. Pero, debe hacer esto antes de que el mensaje se entregue al destinatario, lo que es posible mientras lo intenta.

Espió el código y luego creó un código personalizado usando iframe y dejó que WhatsApp hiciera el envío general. Si bien ignorar este CSP es peligroso, ¡esta falla también le dio acceso a los archivos locales del sistema! Imagine que un atacante obtiene este acceso y puede enviar enlaces maliciosos a los usuarios. Esta falla también podría estar sucediendo con la vista de URL web. Así que recuerde hacer clic en enlaces sospechosos e informar de los mensajes de fuentes de spam.

Versión web de WhatsApp v0.3.9309 y a continuación, que están emparejados con la versión 2.20.10 son vulnerables a la explotación. Anotado como CVE-2019-1842, esta vulnerabilidad es solucionada por la empresa matriz de WhatsApp, Facebook. Se ha lanzado una nueva versión de la versión web de WhatsApp que corrige esta falla. Finalmente, Facebook recompensó a Weizman con una recompensa de $ 12,500 por revelarlo de manera responsable.