Check Point Software Technologies обнаружил серьезную уязвимость в новом веб-клиенте мессенджера WhatsApp.
Уязвимость использует приложение для ПК WhatsApp Web и позволяет злоумышленникам инфицировать компьютер жертвы, а также все устройства, синхронизированные через WhatsApp.
Уязвимость получила название MaliciousCard. Все, что нужно злоумышленникам для компрометации ПК, это номер телефона пользователя, привязанный к аккаунту WhatsApp, на который они отправляют визитную карточку vCard, содержащую вредоносный код. Визитная карточка оказывается исполняемым файлом, после открытия которого на компьютер может быть загружено вредоносное ПО, включая ботов, программы-вымогатели, RAT и другие.
WhatsApp провел проверку и признал наличие проблемы с безопасностью веб-клиента, а также выпустил обновление для ее устранения. Специалисты Check Point сообщили компании о наличии уязвимости 21 августа 2015 года. WhatsApp выпустила необходимые исправления (для всех версий позднее 0.1.4481) 27 августа 2015 года. Чтобы убедиться, что WhatsApp аккаунт защищен, необходимо обновить WhatsApp Web до последней версии.
WhatsApp Web — это веб-расширение мобильного приложения WhatsApp. Веб-приложение дублирует все отправленные и полученные сообщения и полностью синхронизирует смартфон и компьютер, чтобы пользователи могли видеть все сообщения на двух устройствах. Приложение WhatsApp Web доступно для большинства платформ, поддерживающих WhatsApp, включая Android, iPhone (iOS), Windows Phone 8.x, BlackBerry, BB10 и Nokia. Веб-интерфейсом WhatsApp пользуются по меньшей мере 200 миллионов подписчиков, учитывая публично доступные статистические данные веб-трафика.