主页(http://www.175shouji.com):WhatsApp桌面应用程序的缺陷允许远程访问文件
Face book针对WhatsApp Desktop的一个缺陷发布了一份安全顾问报告,该报告可能允许攻击者使用跨站脚本攻击,并通过使用专门制作的短信来读取MacOS或Windows PC上的文件。攻击者可以在WhatsApp短信的另一端检索计算机上的文件内容,并可能做其他非法的事情。
这一缺陷是由PerimeterX的研究人员Gal Weizman发现的,其原因是WhatsApp桌面是如何使用Electron软件框架实现的,而Electron软件框架在过去曾有过重大的安全问题。电子允许开发人员创建基于Web和浏览器技术的跨平台应用程序,但只是与开发人员使用其电子应用程序部署的组件一样安全。
魏兹曼在2017年首次发现WhatsApp中的跨站点脚本漏洞,当时他发现他可以篡改消息的元数据,为Web链接制作伪造的预览横幅,并在WhatsApp消息中创建可能隐藏敌对意图的URL。但当他继续对WhatsApp客户端进行探索时,他发现他可以将JavaScript代码注入到WhatsApp桌面内运行的消息中,然后使用JavaScript FetchAPI访问本地文件系统。
所有这些都是可能的,因为WhatsAppDesktop的脆弱版本是使用过时的、已知的谷歌Chrome浏览器引擎-Chrome69的脆弱版本开发的。更多最新版本的Chrome引擎将捕获恶意代码。
根据Face book的说法,该漏洞影响WhatsApp桌面版本0.3.9309和更早的版本,对于在2.20.10之前将桌面应用程序与WhatsApp配对的iPhone版本的用户。Face book推出了新版本的WhatsApp桌面,使用了更新的浏览器组件。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
