Veszélyes hibától szabadult meg a WhatsApp

Súlyos biztonsági hibát javított a Facebook a WhatsApp alkalmazásának kapcsán. Érdemes figyelni a mielőbbi frissítésre.
 

A WhatsApp jelenleg 1,5 milliárd aktív felhasználóval rendelkezik, ami igencsak vonzóvá teszi az alkalmazást, és a mögötte meghúzódó infrastruktúrát a kibertámadók számára. Szerencsére a legutóbbi sebezhetőségre egy etikus hacker akadt rá, és még azelőtt jelezte a biztonsági rendellenességet a fejlesztőknek, mielőtt az komolyabb problémák forrásává vált volna. A hibajavítás azóta már elkészült, így egy frissítéssel egyszerűen foltozható a biztonsági rés.
 
A sérülékenységet Gal Weizman, a PerimeterX biztonsági kutatója fedezte fel. A szakember a népszerű alkalmazás asztali verzióját vette szemügyre, és abban tárta fel a szóban forgó sérülékenységet. Vagyis ezúttal nem a mobil appokkal akadt probléma, hanem a Windows és a macOS kompatibilis kiadásokkal. Ezt pedig minden bizonnyal kevesebben használják, mint a mobilos változatokat, de ettől a sebezhetőség kockázatait még nem célszerű lebecsülni.
 
Weizman a hiba felfedezését követően egy támadási módszert is kidolgozott, amivel igazolni tudta a hiba létezését. Elmondta, hogy a sebezhetőség speciálisan összeállított üzenetekkel, illetve azokban lévő hivatkozásokkal válhat kihasználhatóvá. Ha a felhasználó erre rákattint, akkor XSS (Cross-site scripting) típusú támadások vehetik kezdetüket, és a támadók hozzáférést szerezhetnek a helyi fájlrendszerhez. A kutató a vizsgálatai során az erre a célra kialakított környezetben például a Windows hosts állományát kaparintotta meg ilyen módon. Arról egyelőre nem érkeztek hírek, hogy a sérülékenység a fájlrendszer olvasásán túl fájlmanipulációra is módot adna.


Forrás: Gal Weizman
 
A Facebook a 10-es fokozatú CVSS-veszélyességi skálán 8,2-re értékelte a sérülékenységet. A kockázatok értékelése során nyilván figyelembe vette, hogy a biztonsági rés távolról is kihasználhatóvá válhat, de ehhez felhasználói közreműködésre is szükség van. Emellett a hiba "csak" akkor jelent veszélyt, amikor a felhasználó WhatsApp for iPhone alkalmazással párosítja a WhatsApp Desktop szoftvert.
 
A Facebook a WhatsApp Desktop v0.3.9309 kiadásával szüntette meg a sebezhetőséget. A felfedezőt pedig 12.500 dollár jutalomban részesítette.
Vélemények
 
  1. 3

    Az SQLite kapcsán két sebezhetőségre derült fény.

  2. 4

    Az Autodesk Maya egy súlyos sérülékenységet tartalmaz.

  3. 3

    A Maze.A zsarolóprogram fájlok titkosítása mellett adatokat is kiszivárogtat a fertőzött számítógépekről.

 
Partnerhírek
Módosított pályázati kiírás - az „Év információvédelmi szak- és diplomadolgozata - 2020” cím elnyerésére

A Hétpecsét Információbiztonsági Egyesület 2020 évre is meghirdeti az „Év információvédelmi szak- és diplomadolgozata - 2020” címet.

667%-kal nőtt a koronavírushoz kapcsolódó támadások száma – az ESET meghosszabbítja ingyenes akcióját

A koronavírus terjedése miatt egyre nagyobb mértékben támaszkodunk digitális megoldásokra a mindennapi életünk során.

hirdetés
Közösség
1