Vědci v oblasti kybernetické bezpečnosti identifikovali a kritická zranitelnost JavaScriptu v desktopové aplikaci WhatsApp před verzemi 0.3.9309. Tuto chybu zabezpečení, kterou původně objevil Gal Weizman ze společnosti PerimeterX, ovlivňuje verze aplikace pro Windows i Mac a může potenciálně umožnit počítačovým zločincům aplikovat malware nebo provádět vzdálené spuštění kódu pomocí zdánlivě neškodných zpráv.
Podle národní databáze zranitelnosti je chyba zabezpečení (CVE-2019-1842) „Při spárování s WhatsApp pro iPhone verze před 2.20.10 umožňuje skriptování mezi weby a čtení místních souborů.“ V podstatě umožňuje počítačovým zločincům provádět phishingové nebo ransomwarové kampaně prostřednictvím oznámení, která se na první pohled zdají normální.
Nejkritičtější chyba zabezpečení útočníkům zjevně umožnila jednoduše poslat nějaký škodlivý JavaScript ve zprávě WhatsApp, aby na dálku převzali kontrolu nad cílovým zařízením a číst místní soubory.
Desktopové aplikace WhatsApp, které je potřeba spárovat s verzí aplikace pro Android nebo iOS, jsou vytvořeny pomocí technologie webového prohlížeče s architekturou Electron. Jak se ukázalo, vývojáři WhatsApp používali starou zastaralou verzi Chromia (verze 69), o které již bylo známo, že tyto chyby zabezpečení mají. Standardním postupem je vždy aktualizovat kód pomocí nejnovější verze Chromia při používání Electronu, podle Weizmana.
Desktopové aplikace WhatsApp mají celosvětově více než 1,5 miliardy uživatelů a není okamžitě jasné, kolik z nich je tímto problémem ovlivněno. Facebook již aktualizoval software požadovanými opravami, takže nejnovější verze by měla být bez problému.
Jak již bylo zmíněno, WhatsApp Desktop v0.3.9309 a dřívější verze jsou touto chybou zabezpečení ovlivněny, takže byste měli co nejdříve aktualizovat na nejnovější verzi. Více se o tomto problému dozvíte také ve Weizmanově zprávě na oficiálním blogu PerimeterX.