臉書修補WhatsApp允許駭客存取本地端檔案系統的安全漏洞

來自PerimeterX的安全研究人員Gal Weizman，在本周對外揭露藏匿在WhatsApp中的安全漏洞，此一編號為CVE-2019-18426的安全漏洞，將允許駭客執行跨站腳本程式攻擊（XSS）或讀取受害者的本地端檔案，幸好臉書已於上個月修補了該漏洞。

根據Weizman的說明，該漏洞存在於WhatsApp的內容安全政策（Content Security Policy，CSP）中，同時影響WhatsApp的Web版客戶端程式與桌面程式。在針對Web版客戶端程式的攻擊上，駭客只要傳送一個特製的訊息就能執行XSS攻擊，而在桌面程式上，駭客則可透過XSS攻擊並繞過CSP，以讀取受害者存放在本地端的檔案，也可能執行遠端程式攻擊。

Weizman強調，CSP的規則非常重要，假設CSP的配置正確，那麼XSS的威力就會受到很大的限制，允許駭客繞過CSP等於是替駭客大開方便之門，不僅能向受害者竊取寶貴的資訊，也更容易載入其它惡意酬載。

臉書則說，CVE-2019-18426漏洞出現在WhatsApp桌面程式搭配iPhone版WhatsApp程式時，將允許XSS攻擊及讀取本地端檔案，使用者只要點選文字訊息中的預覽連結就可能受害。

最近另一個與WhatsApp有關的消息是，WhatsApp已在2月1月終止對 Android 2.3.7及之前，與iOS 8及之前等行動平台的支援，代表這些平台上的WhatsApp隨時可能停止運作，使用者只能選擇更新平台或更換手機來因應。