Получение технической информации и изучение политики безопасности контента WhatsApp.

Исследователь PerimeterX, Вейцман углубился в политику безопасности контента WhatsApp. Именно здесь он обнаружил пробел, который позволил ему выполнять обходы и межсайтовый скриптинг в самом настольном приложении. Это также означало, что он смог получить разрешения на чтение из локальной файловой системы в приложении. Внедрение вредоносного кода или ссылок в текстовые сообщения на этом этапе стало относительно простым, изменив код JavaScript сообщения перед доставкой, и стало совершенно невидимым для обычного пользователя WhatsApp. Чтобы вредоносное сообщение работало, оно должно содержать текст “javascript:”, который скорее всего будет воспринят большинством нетехнических пользователей, как странное приложение.

Важно отметить, что хотя в более новых версиях Google Chrome встроена защита от изменения JavaScript, Safari по мнению исследователей, все еще широко открыт для этих уязвимостей.

Ответ WhatsApp на последние откровения о безопасности приложений.

Представитель WhatsApp сказал:
“Мы регулярно работаем с ведущими исследователями в области безопасности, чтобы избежать потенциальных угроз для наших пользователей. В этом случае мы исправили проблему, которая теоретически могла повлиять на пользователей iPhone, которые нажимали на вредоносную ссылку при использовании WhatsApp на их рабочем столе”.

Представитель WhatsApp также подтвердил, что уязвимости были быстро исправлены, и патч применяется к загрузкам приложений с середины декабря 2019 года.

Снижение риска использования эксплойтов WhatsApp в один клик.

Рекомендации по смягчению последствий, которые были предложены  пользователям WhatsApp, которые хотели бы продолжать использовать приложение на старых iPhone, заключались в обновлении операционной системы, если это возможно. Совет по смягчению последствий теперь заключается в том, что пользователь должен обновить само приложение и сделать это в срочном порядке.

Источник: https://leisurecentre.ru/polzovateli-iphone-naxodyatsya-v-opasnosti-iz-za-uyazvimosti-v-whatsapp-chast-2/