image

Lek in WhatsApp Desktop kon toegang tot lokale bestanden geven

woensdag 5 februari 2020, 09:35 door Redactie, 3 reacties

Facebook heeft een beveiligingslek in WhatsApp Desktop verholpen waardoor aanvallers toegang tot lokale bestanden van gebruikers hadden kunnen krijgen. WhatsApp-gebruikers kunnen via WhatsApp Desktop vanaf hun computer met anderen chatten. Hiervoor moet de applicatie wel zijn gekoppeld met een telefoon.

Wanneer een kwetsbare versie van WhatsApp Desktop werd gekoppeld met WhatsApp voor iPhone had een aanvaller door cross-site scripting toegang tot lokale bestanden kunnen krijgen wanneer de gebruiker een kwaadaardige link zou openen. De kwetsbaarheid werd gevonden door beveiligingsonderzoeker Gal Weizman. De onderzoeker stelt dat het beveiligingslek ook remote code execution mogelijk zou maken, waardoor het systeem had kunnen worden overgenomen. Hij ontwikkelde echter geen exploit om een dergelijke aanval te demonstreren.

Weizman waarschuwde Facebook, dat het probleem vervolgens patchte. "Het is 2020 en geen product zou via een enkel bericht van het bestandssysteem moeten kunnen lezen of in potentie remote code moeten kunnen uitvoeren", zo laat de onderzoeker weten. De kwetsbaarheid is op een schaal van 1 tot en met 10 wat betreft de ernst met een 8,2 beoordeeld. Gebruikers krijgen het advies om te updaten naar WhatsApp Desktop versie 0.3.9309 of nieuwer en WhatsApp voor iPhone versie 2.20.10 en nieuwer.

Image

Reacties (3)
05-02-2020, 12:16 door Anoniem
Was het wel een lek, en geen stiekem ingebouwde feature, in de hoop dat het niet ontdekt zou worden? Ik bedoel: Facebook, de eigenaar van WhatsApp, vindt het héérlijk om tussen jouw data en bestanden te grasduinen. En het is ook nog eens een Amerikaans bedrijf, dus.... 1 + 1 = 2.
05-02-2020, 13:12 door Briolet
Gebruikers krijgen het advies om te updaten naar WhatsApp Desktop versie 0.3.9309 of nieuwer

Dat lek is dan enige tijd geleden gedicht, want de actuele versie is 0.4.316 welke al 24 januari uitgegeven is. De genoemde veilige versie is dus nog ouder.
05-02-2020, 17:58 door Rexodus
Door Anoniem: Was het wel een lek, en geen stiekem ingebouwde feature, in de hoop dat het niet ontdekt zou worden? Ik bedoel: Facebook, de eigenaar van WhatsApp, vindt het héérlijk om tussen jouw data en bestanden te grasduinen. En het is ook nog eens een Amerikaans bedrijf, dus.... 1 + 1 = 2.

Ik beweer dat al jaren. Het is gewoon te vaak en overlappend lek. Met andere woorden, er wordt permanente toegang geboden tot die backdoor gevonden word. Paar maanden later zit ie op een andere plek. Dat gaat al zo sinds dat van feesboek is. Telegram is grofweg het zelfde van opzet en heeft dit soort problemen VEEEEEEEL minder.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.