Melibatkan eksploitasi ke atas versi WhatsApp Desktop/Web.

Seorang penyelidik keselamatan bernama Gal Weizman telah menemui kecacatan kritikal ke atas versi WhatsApp Desktop yang menyebabkan penggodam boleh mengakses fail sistem WhatsApp hanya dengan menggunakan satu hantaran mesej sahaja.

IKLAN

I managed to find four more unique security flaws in WhatsApp which led me all the way to persistent XSS and even reading from the local file system – by using a single message.” Gal Weizman.

Beliau mendakwa, eksploitasi ke atas versi WhatsApp Desktop itu berlaku terhadap pengguna sistem komputer Macintosh dan Windows.

Beliau menjelaskan, ia dapat dilakukan oleh penjenayah siber dengan memasukkan kod Javascript ke dalam hantaran mesej dan seterusnya memperoleh kebenaran mengakses fail WhatsApp secara kawalan jauh.

IKLAN

Using WhatsApp web, I can find the line of code where the object containing the metadata of the message is being formed, tamper with it, and then let the app continue in its natural message-sending flow, thus crafting my message while bypassing the UI filtering mechanism.” Gal Weizman.

Tidak setakat itu, beliau juga berjaya mengubah pautan sah kepada pautan lain, tetapi masih menggunakan banner dari laman sah. Ia sekaligus boleh mengelirukan dan menipu pengguna untuk klik pada pautan tersebut.

IKLAN
Contoh eksploitasi yang dibuat ke atas pautan Facebook menerusi hantaran mesej di WhatsApp.

Beliau menjelaskan,

See what I did? I managed to not only mess with the banner’s link, but also crafted a message with a link that looks like it belongs to https://facebook.com while the link will always redirect to https://example.com!

This is dangerous because it appears authentic since both the banner and the link look like they really do belong to https://facebook.com

Berikutan penemuan kecacatan ini, beliau telah menghubungi pihak WhatsApp dan telah membantu mereka memperbetulkan pepijat tersebut.