WhatsApp客户端漏洞使黑客可以读取存储在任何设备上的文件
最近小茹姐发现WhatsApp客户端漏洞使黑客可以读取存储在任何设备上的文件这个话题相信很多小伙伴们都很感兴趣吧,那么今天就带大家了解下WhatsApp客户端漏洞使黑客可以读取存储在任何设备上的文件的具体详情,那么小茹姐就来给大家说说具体的一些问题吧,希望对大家有所帮助。
WhatsApp中发现了一个关键的安全问题,如果Facebook拥有的消息传递应用程序未使用最新的补丁程序更新,则该漏洞可能使黑客能够读取存储在用户设备上的文件。
Perimeter X的安全研究员Gal Weizman的研究源于2017年发现的有关安全漏洞的研究,攻击者可以在WhatsApp中更改某人的回复文字,发现了许多其他安全问题。根据特定的漏洞,Weizman能够在WhatsApp中执行持久的跨站点脚本(XSS),并能够通过发送一条消息来读取收件人的本地文件系统。
发现这些漏洞可在适用于macOS和Windows 的WhatsApp桌面版本上正常工作,这些版本通常与移动版本(如iPhone应用程序)配对。
在他们的工作中,Weizman发现了WhatsApp的内容安全政策中的问题,这些问题打开了滥用之门,而这些缺陷使严重性得以升级。在低端,这包括操纵WhatsApp标语,该标语出现在包含额外信息(如指向网站链接)的消息中,并且对该消息进行篡改使其看起来似乎已链接到Facebook,但实际上可能包含恶意网站URL。
进一步滥用CSP允许执行XSS,但是虽然这通常会对应用程序造成破坏,但在应用程序的桌面版本上执行横幅操作使攻击者能够找到有关受害者计算机的信息并读取本地信息。文件。此时,发现基于Electron的Web应用程序正在使用Electron 4.1.4中的Chromium版本69,该版本较旧,其中包含的漏洞使得XSS攻击得以发生。
Chromium 69的使用也是一个问题,因为该版本可能存在多种远程执行代码的攻击,还有其他一些攻击。Weizman进一步建议,如果WhatsApp仅将其Electron Web应用程序从4.1.4更新到更新的版本,则“此XSS将永远不存在”。
Facebook 更新一月下旬在桌面和iPhone应用程序上修复该问题。Electron是消息传递和协作平台Slack和Discord的核心,但尚不清楚这些平台是否受到影响或已被修补。
考虑到亚马逊首席执行官杰夫·贝索斯(Jeff Bezos)的iPhone被黑客入侵后,公司面临的审查,WhatsApp桌面客户端相对令人尴尬的漏洞的披露对于Facebook来说是一个问题。沙特王储穆罕默德·本·萨勒曼(Mohammed bin Salman)参与了这次黑客攻击,并导致有关贝佐斯的妥协信息在2018年泄露给一家报纸,原因是据称其中涉及从王子的WhatsApp帐户发送的格式不正确的视频。
提出要求后不久,Facebook全球事务主管和前英国副总理尼克·克莱格爵士坚称该应用程序是安全的。在接受英国广播公司(BBC)采访时,克莱格(Clegg)坚称 WhatsApp的加密消息“无法被入侵”,并且传输中的消息不可能有任何变化-显然并非如此。利用此WhatsApp客户端漏洞很容易导致Bezos被黑。