来自PerimeterX的安全研究人员Gal Weizman,在本周对外披露藏匿在WhatsApp中的安全漏洞,该编号为CVE-2019-18426的安全漏洞,将允许黑客执行跨站脚本程序攻击(XSS)或读取受害者的本地端文件,幸好脸书已于上个月修补了该漏洞。
根据Weizman的说明,该漏洞存在于WhatsApp的内容安全策略(Content Security Policy,CSP)中,同时影响WhatsApp的Web版客户端程序与桌面程序。在针对Web版客户端程序的攻击上,黑客只要发送一个特定的消息就能执行XSS攻击,而在桌面程序上,黑客则可通过XSS攻击并绕过CSP,以读取受害者存放在本地端的文件,也可能执行远程程序攻击。
Weizman强调,CSP的规则非常重要,假设CSP的配置正确,那么XSS的威力就会受到很大的限制,允许黑客绕过CSP等于是替黑客大开方便之门,不仅能向受害者窃取宝贵的信息,也更容易加载其它恶意酬载。
脸书则说,CVE-2019-18426漏洞出现在WhatsApp桌面程序搭配iPhone版WhatsApp程序时,将允许XSS攻击及读取本地端文件,用户只要点击文本消息中的预览连接就可能受害。
最近另一个与WhatsApp有关的消息是,WhatsApp已在2月1月终止对Android 2.3.7及之前,与iOS 8及之前等移动平台的支持,代表这些平台上的WhatsApp随时可能停止运行,用户只能选择更新平台或更换手机来因应。