Исследователь в области безопасности Контрольной точки отыскал, что инструмент мгновенного обмена сообщениями WhatsApp подобающим образом не проверял входящие сообщения.WhatsApp – все более и более популярное кросс-платформенное мобильное коммуникационное приложение, которым Facebook сейчас обладает – было до 27 августа подвержено риску от недостатка, что, быть может, подверг большое число риску его пользователей. Недостаток был формально раскрыт сейчас поставщиком совокупностей обеспечения безопасности Контрольная точка, которая сперва сказала об уязвимости работе безопасности WhatsApp 21 августа.Уязвимость воздействует на веб-приложение WhatsApp, которое применяют примерно 200 миллионов из 900 миллионов клиентов WhatsApp.
Веб-приложение WhatsApp снабжает интерфейс, что трудится на устройствах пользователя при помощи веб-браузера.Недостаток, что найденная Контрольная точка – то, что атакующий имел возможность возможно послать интернет-пользователю WhatsApp vCard, что включает вредоносный код. vCard есть форматом промышленного стандарта чтобы получить информацию о визитной карточке.
Согласно Контрольной точке, неисправленный интерфейс WhatsApp Web разрешил злонамеренному vCard открыться на устройстве пользователя как исполняемый файл, что, быть может, включал вредоносное ПО.Причина недостатка vCard, о котором Контрольная точка сказала WhatsApp, пребывает в том, что совокупность подобающим образом не отфильтровала ввод от карт контакта. Исследователь в области безопасности контрольной точки Кэзиф Декель смог прервать Расширяемый Протокол Обмена сообщениями и Присутствия (XMPP) запросы сообщения, посланные в серверы WhatsApp для управления vCard файлами.
«Мы были поражены отыскать, что WhatsApp не удается выполнить любую диагностику на формате vCard либо содержании файла», Отравился громадной дозой наркотика Вэнуну, записал менеджер группы, изучение безопасности в Контрольной точке, в сообщении в блоге.Тогда как Контрольная точка смогла инициировать недостаток в своем изучении, и тогда как 200 миллионов пользователей, быть может, пребывали в опасности, не было никакой эксплуатации благодаря отчетности Контрольной точки фиксации и дефект WhatsApp это, сообщил Вэнуну. «Сейчай нет никакого доказательства этой уязвимости, применяемой в природе», сообщил он eWEEK.
Довольно того, как Контрольная точка нашла недостаток во-первых, Vanunu лишь прокомментировал, что как часть миссии Контрольной точки обезопасисть Интернет, его компания всегда проводит проверки защиты на продуктах и популярных услугах.С позиций идентификатора уязвимости недостаток vCard в сети WhatsApp не имеет Неспециализированных Воздействий и Уязвимостей либо CVE, число связанный с ним.«Нет никакого CVE, присвоенного этой проблеме; CVE-идентификаторы в большинстве случаев присваиваются уязвимостям, которые развертываются конечным пользователем», сообщил Вэнуну.Вэнуну похвалил WhatsApp за его стремительный ответ в устранении неприятности с начальным смягчением, и вдобавок обновленного Веб-клиента с версией v.01.4481, которая была развернута 27 августа.
Если бы WhatsApp не был стремителен при обновлении, Вэнуну подчернул, что личные клиенты Контрольной точки будут все еще защищены.«WhatsApp уже продвинул исправление всем пользователям. Но, если бы они не были скоро реагирующими, Контрольная точка генерировала бы IPS [система предотвращения проникновений] и защита конечной точки [технология] для защиты потребительских конечных точек», сообщил Вэнуну.Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.