圖片來源: 

WhatsApp

來自PerimeterX的安全研究人員Gal Weizman,在本周對外揭露藏匿在WhatsApp中的安全漏洞,此一編號為CVE-2019-18426的安全漏洞,將允許駭客執行跨站腳本程式攻擊(XSS)或讀取受害者的本地端檔案,幸好臉書已於上個月修補了該漏洞。

根據Weizman的說明,該漏洞存在於WhatsApp的內容安全政策(Content Security Policy,CSP)中,同時影響WhatsApp的Web版客戶端程式與桌面程式。在針對Web版客戶端程式的攻擊上,駭客只要傳送一個特製的訊息就能執行XSS攻擊,而在桌面程式上,駭客則可透過XSS攻擊並繞過CSP,以讀取受害者存放在本地端的檔案,也可能執行遠端程式攻擊。

Weizman強調,CSP的規則非常重要,假設CSP的配置正確,那麼XSS的威力就會受到很大的限制,允許駭客繞過CSP等於是替駭客大開方便之門,不僅能向受害者竊取寶貴的資訊,也更容易載入其它惡意酬載。

臉書則說,CVE-2019-18426漏洞出現在WhatsApp桌面程式搭配iPhone版WhatsApp程式時,將允許XSS攻擊及讀取本地端檔案,使用者只要點選文字訊息中的預覽連結就可能受害。

最近另一個與WhatsApp有關的消息是,WhatsApp已在2月1月終止對 Android 2.3.7及之前,與iOS 8及之前等行動平台的支援,代表這些平台上的WhatsApp隨時可能停止運作,使用者只能選擇更新平台或更換手機來因應。


Advertisement

更多 iThome相關內容