Check Point® Software Technologies Ltd. обнаружила серьезную уязвимость в новом веб-клиенте мессенджера WhatsApp. Уязвимость использует приложение для ПК WhatsApp Web и позволяет злоумышленникам инфицировать компьютер жертвы, а также все устройства, синхронизированные через WhatsApp.
Уязвимость получила название MaliciousCard. Все, что нужно злоумышленникам для компрометации ПК, это номер телефона пользователя, привязанный к аккаунту WhatsApp, на который они отправляют визитную карточку vCard, содержащую вредоносный код. Визитная карточка оказывается исполняемым файлом, после открытия которого на компьютер может быть загружено вредоносное ПО, включая ботов, программы-вымогатели, RAT и другие.
WhatsApp провел проверку и признал наличие проблемы с безопасностью веб-клиента, а также выпустил обновление для ее устранения. Специалисты Check Point сообщили компании о наличии уязвимости 21 августа 2015 года. WhatsApp выпустила необходимые исправления (для всех версий позднее 0.1.4481) 27 августа 2015 года. Чтобы убедиться, что WhatsApp аккаунт защищен, необходимо обновить WhatsApp Web до последней версии.
«К счастью, представители WhatsApp быстро и ответственно отреагировали на сообщение и применили необходимые меры против этой уязвимости во всех веб-клиентах во время подготовки обновления клиента WhatsApp, — говорит Одед Вануну, менеджер группы по исследованию безопасности Check Point. — Мы очень рады оперативному ответу со стороны WhatsApp и хотели бы, чтобы больше поставщиков решали вопросы безопасности на таком же профессиональном уровне. Вендоры программного обеспечения и поставщики услуг должны быть защищены и действовать в соответствии с передовой практикой безопасности. Check Point продолжает искать уязвимости в программном обеспечении и интернет-платформах, как и раньше обнаруживая проблемы с безопасностью для защиты пользователей и заказчиков от завтрашних угроз».
WhatsApp Web — это веб-расширение мобильного приложения WhatsApp. Веб-приложение дублирует все отправленные и полученные сообщения и полностью синхронизирует смартфон и компьютер, чтобы пользователи могли видеть все сообщения на двух устройствах. Приложение WhatsApp Web доступно для большинства платформ, поддерживающих WhatsApp, включая Android, iPhone (iOS), Windows Phone 8.x, BlackBerry, BB10 и Nokia. Веб-интерфейсом WhatsApp пользуются по меньшей мере 200 миллионов подписчиков, учитывая публично доступные статистические данные веб-трафика.