Cercetătorii în securitate cibernetică au identificat un vulnerabilitate critică JavaScript în aplicația desktop WhatsApp înainte de versiunile 0.3.9309. Descoperită inițial de Gal Weizman de la PerimeterX, vulnerabilitatea afectează atât versiunile Windows, cât și Mac ale aplicației și ar putea permite infractorilor cibernetici să injecteze malware sau să execute coduri de la distanță folosind mesaje aparent inofensive..
Potrivit bazei de date naționale privind vulnerabilitățile, vulnerabilitatea (CVE-2019-1842) „Atunci când este asociat cu versiunile WhatsApp pentru iPhone înainte de 2.20.10, permite scripturi între site-uri și citirea fișierelor locale.” În esență, permite criminalilor cibernetici să execute campanii de phishing sau ransomware prin mesaje de notificare care par normale la prima vedere.
Cea mai critică vulnerabilitate a permis aparent atacatorilor să trimită pur și simplu ceva JavaScript rău intenționat într-un mesaj WhatsApp pentru a prelua controlul asupra unui dispozitiv țintă de la distanță și a citi fișierele locale.
Aplicațiile desktop WhatsApp, care trebuie să fie asociate cu versiunea Android sau iOS a aplicației pentru a funcționa, sunt construite utilizând tehnologia browserului web cu cadrul Electron. După cum se dovedește, dezvoltatorii WhatsApp foloseau o versiune veche, depășită de Chromium (versiunea 69), despre care se știa deja că are aceste vulnerabilități. Practica standard este de a actualiza întotdeauna codul cu cea mai recentă versiune de Chromium în timp ce utilizați Electron, conform Weizman.
Aplicațiile desktop pentru WhatsApp au peste 1,5 miliarde de utilizatori la nivel global și nu este clar imediat cât de mulți dintre ei sunt afectați de această problemă. Facebook a actualizat deja software-ul cu patch-urile necesare, astfel încât cea mai recentă versiune ar trebui să fie liberă de problemă.
După cum sa menționat deja, WhatsApp Desktop v0.3.9309 și versiunile anterioare sunt afectate de vulnerabilitate, deci ar trebui să actualizați la cea mai recentă versiune cât mai curând posibil. De asemenea, puteți afla mai multe despre această problemă din raportul lui Weizman de pe blogul oficial PerimeterX.