Bởi: Bàn công nghệ | New Delhi |
Cập nhật: tháng 2 5, 2020 12:55:53 chiều
WhatsApp Web có một lỗ hổng sẽ cho phép kẻ tấn công đọc các tệp trên máy tính để bàn. (Nguồn hình ảnh: Reuters)
Một lỗ hổng bảo mật trong các phiên bản WhatsApp Web đã được nhà nghiên cứu Gal Weizman nhấn mạnh, nó sẽ cho phép kẻ tấn công từ xa đọc các tệp từ máy tính để bàn của người dùng nhờ một liên kết được chế tạo đặc biệt được gửi dưới dạng tin nhắn. Facebook đã thừa nhận lỗ hổng bảo mật và cũng đã đưa ra một bản sửa lỗi.
Weizman đã xuất bản một bài đăng giải thích làm thế nào có thể thực hiện loại tấn công này, điều mà hầu hết các nhà nghiên cứu thường làm sau khi lỗ hổng đã được sửa chữa. Lỗ hổng WhatsApp Web là CVE-2019-18426 và theo mô tả, nó đã ảnh hưởng đến WhatsApp Web hoặc phiên bản máy tính để bàn của ứng dụng.
Lỗ hổng cho phép để đọc kịch bản chéo trang web và đọc tệp cục bộ, khi có phiên bản WhatsApp Desktop trước 0.3.9309 đã được ghép nối với các phiên bản WhatsApp cho iPhone trước đó 2.20.10. Lỗ hổng yêu cầu nạn nhân nhấp vào xem trước liên kết từ một tin nhắn văn bản được chế tạo đặc biệt, theo mô tả của lỗ hổng.
Facebook cho biết nó đã tác động đến WhatsApp Desktop trước v0.3.9309 được ghép nối với WhatsApp cho các phiên bản iPhone trước 2.20.10.
Trong một tuyên bố với Ấn Độexpress.com, người phát ngôn của WhatsApp cho biết, chúng tôi thường xuyên làm việc với các nhà nghiên cứu bảo mật hàng đầu để luôn đứng trước các mối đe dọa tiềm tàng đối với người dùng của chúng tôi. Trong trường hợp này, chúng tôi đã khắc phục một sự cố về lý thuyết có thể ảnh hưởng đến người dùng iPhone đã nhấp vào liên kết độc hại trong khi sử dụng WhatsApp trên máy tính để bàn của họ. Lỗi này đã được khắc phục kịp thời và đã được áp dụng từ giữa tháng 12.
Weizman trong bài đăng trên blog của mình đã chỉ ra cách anh ta có thể thực hiện cuộc tấn công chéo trang (XSS) và cũng bỏ qua Chính sách bảo mật nội dung (CSP) và đọc các tệp từ hệ thống tệp cục bộ trên cả hai Windows và Mac. Anh quản lý để làm điều này bằng cách gửi một liên kết độc hại trên WhatsApp, được mở thông qua WhatsApp Web.
Tấn công chéo trang hoặc tấn công XSS cho phép kẻ tấn công từ xa thực thi mã độc bên trong trình duyệt của người dùng và truy cập dữ liệu của họ. Weizman trong cuộc tấn công của mình cũng có thể vượt qua các quy tắc CSP của WhatsApp, vốn được cho là để bảo vệ chống lại các cuộc tấn công giữa các trang web như vậy.
Weizman phát hiện ra rằng anh ta có thể giả mạo các tin nhắn, trong đó có các biểu ngữ xem trước phong phú. Các biểu ngữ này thường xuất hiện khi ai đó gửi liên kết dưới dạng tin nhắn trên WhatsApp và có một bản xem trước phong phú cho trang web.
Đọc thêm: Hack điện thoại của Jeff Bezos: LHQ muốn điều tra, Tập đoàn NSO nói rằng chúng tôi đã làm điều đó
Nhà nghiên cứu cũng tiết lộ trong bài đăng trên blog của mình rằng anh ta có thể giả mạo các thuộc tính biểu ngữ trước khi gửi như trên WhatsApp, biểu ngữ được tạo ra ở phía người gửi. Mặc dù lỗ hổng này không hoạt động trên Chromimum, nhưng trên trình duyệt Safari và Edge, lỗ hổng này vẫn còn rộng mở, theo ông.
Mặc dù lỗ hổng mới nhất đã được sửa chữa bởi WhatsApp, nhưng nó xuất hiện vào thời điểm ứng dụng phải đối mặt với sự giám sát kỹ lưỡng hơn. Hãy nhớ rằng, không có bằng chứng nào cho thấy lỗ hổng đã được sử dụng cho bất kỳ loại khai thác nào. Đối với người dùng, tốt nhất là đảm bảo rằng họ đang ở trên các phiên bản mới nhất của WhatsApp, bất kể nền tảng.
Đối với tất cả các Tin tức công nghệ mới nhất, tải xuống Ứng dụng Indian Express
© IE Dịch vụ truyền thông trực tuyến Pvt Ltd
