Face针对WhatsApp桌面的一个缺陷发布了一份安全顾问报告,该缺陷可能允许攻击者使用跨站点脚本攻击,并通过使用特制的短信读取MacOS或Windows PC上的文件。攻击者可以在WhatsApp短信的另一端检索电脑上的文件内容,还可能做其他违法的事情。
这个缺陷是由perimerx x的研究员Gal Weizman发现的,原因是WhatsApp桌面是如何使用电子软件框架实现的,该框架在过去曾存在重大的安全问题。允许电子开发者基于Web和浏览器技术创建跨平台应用程序,但只能与开发者使用其电子应用程序部署的组件一样安全。
魏茨曼在2017年首次发现了WhatsApp中的跨站脚本漏洞,当时他发现他可以篡改消息的元数据,为网页链接制作虚假的预览横幅,并在WhatsApp消息中创建可能隐藏敌对意图的URL。但当他继续探索WhatsApp客户端时,他发现可以将JavaScript代码注入到WhatsApp桌面中运行的消息中,然后使用JavaScript FetchAPI访问本地文件系统。
所有这些都是可能的,因为WhatsAppDesktop的脆弱版是使用过时且已知的谷歌Chrome浏览器引擎开发的——脆弱版-Chrome69。更多最新版本的Chrome引擎将捕获恶意代码。
根据Face book的说法,该漏洞影响WhatsApp桌面版本0.3.9309及更早版本,对于在2.20.10之前将其桌面应用程序与WhatsApp配对的iPhone版本用户而言。Face推出了新版WhatsApp桌面,使用了更新的浏览器组件。
标签:
免责声明:本文由用户上传,如有侵权请联系删除!