WhatsAppのバグにより、ハッカーがファイルを読み取る可能性がある

WhatsAppは先月、ハッカーがコンピュータのローカルファイルにアクセスすることを可能にする可能性がある、デスクトップアプリのセキュリティの抜け穴にパッチを当てました。PerimeterXのサイバーセキュリティ研究者によって発見されたこの脆弱性は、メッセージングサービスのWindowsおよびMacクライアントがiPhoneとペアリングされたときに影響を受けました。

この欠陥はWhatsAppのコンテンツセキュリティポリシー内で発見されました。企業が特定の一連の攻撃を防止するためによく使用する追加のセキュリティレイヤーであり、悪意のある攻撃者がクロスサイトスクリプティングと呼ばれる方法でメッセージやリンクを操作できるようにしました。

ユーザーがこれらの偽装されたテキストのいずれかをタップすると、悪意のあるコードを挿入するだけでなく、自分のコンピューターのローカルファイルを読み取るためのアクセス許可を無意識のうちに攻撃者に付与します。この脆弱性は機能するためにユーザーの操作を必要としましたが、リモートで実行することは可能でした。

「WhatsAppデスクトップとiPhoneのWhatsAppを組み合わせた場合の脆弱性により、クロスサイトスクリプティングとローカルファイルの読み取りが可能になります。この脆弱性を悪用するには、被害者が特別に細工されたテキストメッセージからリンクプレビューをクリックする必要があります。」と親会社のFacebookはセキュリティアドバイザリに書いています。

このバグは、v0.3.9309より前のWhatsAppデスクトップビルドと2.20.10より前のバージョンのiPhone用WhatsAppに影響します。この問題は2020年1月21日に修正されました。したがって、安全を確保するために、コンピューターとiPhoneのWhatsAppアプリを更新してください。

「WhatsAppデスクトップアプリケーションの脆弱なバージョンで使用される古いバージョンのGoogle ChromeのChromiumフレームワークは、これらのコードインジェクションの影響を受けますが、新しいバージョンのGoogle Chromeは、このようなJavaScriptの変更に対する保護を備えています。Safariなどの他のブラウザーは、これらの脆弱性に対して未だ広くオープンしています」とPerimeterXの創設者でありCTOであるIdo Safrutiは説明しています。

iOSとは異なり、JavaScriptバナーに対して追加の保護が設定されているため、この脆弱性はAndroidには影響しません。「iOSはこのチェックを省略したため、悪意のあるコンテンツを含むバナーをiOSデバイスにロードできました」とPerimeterXの広報担当者が付け加えました。

昨年、WhatsAppはセキュリティの脆弱性を排除するのに苦労しました。11月、Facebookが所有するメッセージングの巨人が、MP4ファイルだけでハッカーが電話を制御できるようにする可能性のある欠陥にパッチを適用しました。数週間前、同じバグがAmazonのJeff Bezosの電話と機密データも侵害したことが判明しました。TelegramのCEOは後に、激しいブログポストで、法執行機関のために意図的にバックドアを仕掛け、捕まえられたときにバグとしてそれらをマスクしたとWhatsAppを非難しました。