WhatsApp Desktop’a Değerli Güncelleme!

Bir güvenlik araştırmacısının WhatsApp’ta bulduğu güvenlik açıkları, iletileşme platformunun sanıldığı kadar inançlı olmadığını gösterdi.

PerimeterX’ten Gal Weizman, JavaScript’i kullanarak site önizlemelerinin yanlış gösterilebildiğini ve ilişkilerin zararlı sahifelere yönlendirilebildiğini keşfetti. WhatsApp’ın masaüstü pratiğinde bulunan açıklar, olta taarruzları düzenlemekte ve zararlı yaymakta kullanılabilir.

Weizman, WhatsApp’ın kullandığı İçerik Güvenliği Unsurunda (CSP) bulduğu bir açık sayesinde masaüstü pratiğinde “siteler arası komut belgesi oluşturmayı” (XSS) aktif hale getirdi. Bu, Mac ve Windows’ta lokal evrak sistemine okuma erişimi sağlamak mealine geliyor. İşin daha berbatı, tüm bunlar gerçekleşirken kullanıcı hiçbir şey fark etmeyebiliyor. Bu cins hücumlar, tek bildirinin JavaScript kodunu alıcıya ulaşmadan değiştirerek gerçekleşiyor. WhatsApp’ın masaüstü platformunda iletisi oluşturan kodu bulan Weizman, bunun üzerinde oynayarak bildirileri olağan biçimde göndermeye devam etti. Bu sayede filtreleri aşmak ve değiştirilmiş bildirisi tatbik üzerinden göndermek mümkün oldu.

Weizman, başta da söylediğimiz üzere irtibat gönderildiğinde görünen web sitesi önizlemelerinin bile değiştirilebildiğini söylüyor.

Bu cins ataklara karşı korunmak için koda benzeyen iletilere dikkatle yaklaşmanızda yarar var. Tanımadığınız bireylerden gelen kontakları ise muhakkak açmamanız gerekiyor.

WhatsApp, gelişme üzerine yaptığı bir açıklamada “” bu açığı süratle kapattığını, açığın aralık ayının ortasından beri kapatılmış durumda olduğunu söyledi.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir