WhatsApp桌面应用程序的缺陷允许远程访问文件

Facebook针对WhatsAppDesktop的一个缺陷发布了一份安全顾问报告，该报告可能允许攻击者使用跨站脚本攻击，并通过使用专门制作的短信来读取MacOS或WindowsPC上的文件。攻击者可以在WhatsApp短信的另一端检索计算机上的文件内容，并可能做其他非法的事情。

这一缺陷是由PerimeterX的研究人员GalWeizman发现的，其原因是WhatsApp桌面是如何使用Electron软件框架实现的，而Electron软件框架在过去曾有过重大的安全问题。电子允许开发人员创建基于Web和浏览器技术的跨平台应用程序，但只是与开发人员使用其电子应用程序部署的组件一样安全。

魏兹曼在2017年首次发现WhatsApp中的跨站点脚本漏洞，当时他发现他可以篡改消息的元数据，为Web链接制作伪造的预览横幅，并在WhatsApp消息中创建可能隐藏敌对意图的URL。但当他继续对WhatsApp客户端进行探索时，他发现他可以将JavaScript代码注入到WhatsApp桌面内运行的消息中，然后使用JavaScriptFetchAPI访问本地文件系统。

所有这些都是可能的，因为WhatsAppDesktop的脆弱版本是使用过时的、已知的谷歌Chrome浏览器引擎-Chrome69的脆弱版本开发的。更多最新版本的Chrome引擎将捕获恶意代码。

根据Facebook的说法，该漏洞影响WhatsApp桌面版本0.3.9309和更早的版本，对于在2.20.10之前将桌面应用程序与WhatsApp配对的iPhone版本的用户。Facebook推出了新版本的WhatsApp桌面，使用了更新的浏览器组件。

标签：

免责声明：本文为转载，非本网原创内容，不代表本网观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。