Breaking

Post Top Ad

Your Ad Spot

viernes, 7 de febrero de 2020

La versión web de WhatsApp tiene un defecto crítico que puede dar acceso al atacante a los archivos locales

El mensajero más grande del mundo (WhatsApp) por base de usuarios tiene una falla crítica en su versión de escritorio, que podría permitir que un atacante obtenga acceso a los archivos de almacenamiento local de la víctima e incluso infectar su dispositivo con malware al hacer clic en una URL de carga legítima. Fue descubierto recientemente y rectificado de inmediato, pero divulgarlo al público es un acto responsable para que sean conscientes de tales vulnerabilidades en el futuro.

Investigación y divulgación

Gal Weizman, investigador de seguridad cibernética y experto en JavaScript de Perimeter X, descubrió por primera vez esta vulnerabilidad y probó su explotación . ¡Y funcionó! Los defectos reales se descubrieron en dos temas principales: vista previa de URL y mensaje de texto. Todo lo que hizo fue modificar el código JavaScript de un mensaje de texto o una vista previa de URL que se envía al usuario.
La versión web de WhatsApp tiene un defecto crítico que puede dar acceso al atacante a los archivos locales
Imagen vía PxFuel
La brecha que encontró en la Política de seguridad de contenido de WhatsApp si su versión web lo ha llevado a realizar Cross-Site Scripting (XSS). Aquí, logró extraer el código y mirar el código JavaScript de un mensaje de texto y modificarlo con cualquier código malicioso eventualmente llevaría al usuario a convertirse en una víctima. Pero, debe hacerlo antes de que el mensaje se entregue al destinatario, lo cual es posible mientras lo intentaba.
Inspeccionó el código y luego creó un código personalizado usando iframe y dejó que WhatsApp hiciera el envío general. Si bien pasar por alto este CSP es peligroso, ¡esta falla también le había dado acceso a los archivos locales del sistema! Imagine que un atacante obtiene dicho acceso y puede enviar enlaces maliciosos a los usuarios. Esta falla también puede estar ocurriendo con la vista previa de URL web. Entonces, importa hacer clic en enlaces sospechosos e informar mensajes de fuentes de spam.
La versión web v0.3.9309 de WhatsApp y versiones posteriores, que están emparejadas con la versión 2.20.10, son vulnerables a la explotación. Conocido como CVE-2019-1842 , esta vulnerabilidad es rectificada por el padre de WhatsApp, Facebook. Se lanzó una nueva versión de la versión web de WhatsApp parcheando esta falla. Finalmente, Facebook recompensó a Weizman con una recompensa de $ 12,500 por revelarlo de manera responsable.

No hay comentarios.:

Publicar un comentario

Dejanos tu comentario para seguir mejorando!

Post Top Ad

Your Ad Spot

Páginas