Уязвимость в популярном мессенджере WhatsApp позволила злоумышленникам устанавливать на ПК пользователей трояны-вымогатели и другие типы вирусов. Уязвимость затронула все 200 млн пользователей веб-версии мессенджера.

WhatsApp.

Специалист по информационной безопасности Казиф Декель (Kasif Dekel) из компании Check Point сообщил об обнаружении уязвимости в веб-версии мессенджера WhatsApp, затронувшей около 200 млн пользователей этого сервиса.

Воспользовавшись уязвимостью, злоумышленник может отправить пользователю безобидную на первый взгляд контактную карточку vCard, содержащую вредоносный код. После открытия пользователем этой карточки хакер получает доступ к его системе. Он может дистанционно устанавливать на компьютер программы-вымогатели, ботов, инструменты для дистанционного доступа к пользовательским данным и т. д. vCard - это стандартизированный файл, который содержит имя, номер телефона, электронный адрес и другие контактные данные.

Для того чтобы совершить атаку, злоумышленнику достаточно знать номер мобильного телефона жертвы, к которому привязан аккаунт WhatsApp. Веб-версия WhatsApp автоматически открывает вложения, отправленные с мобильного приложения, включая изображения, видео, аудиофайлы и vCard.

Уязвимость была устранена в версии 0.1.4481. Во всех предыдущих версиях WhatsApp она присутствует. Патч был выпущен 27 августа 2015 г.

«К счастью, команда WhatsApp среагировала достаточно быстро и в кратчайшие сроки смогла устранить уязвимость», — прокомментировал Одед Вануну (Oded Vanunu), исследователь из Check Point.

WhatsApp — самый популярный сервис обмена мгновенными сообщениями. Его пользовательская база включает около 900 тыс. человек, из которых около 200 млн пользуются веб-версией. WhatsApp принадлежит компании Facebook, которая купила его в 2014 г. за рекордную для индустрии сумму в $19 млрд.

Веб-версия WhatsApp заработала в январе 2015 г. Чтобы начать пользоваться веб-версией WhatsApp, необходимо связать браузер с мобильным приложением, то есть доказать сервису, что это конкретный владелец смартфона хочет прибегнуть к веб-клиенту WhatsApp. Для этого требуется пройти по ссылке web.whatsapp.com на компьютере и отсканировать появившийся на экране QR-код с помощью камеры мобильного телефона, запустив на телефоне WhatsApp и пройдя в настройки приложения.

Пользователям реализация WhatsApp не понравилось. Они недоумевают, для чего вообще была создана веб-версия, если при ней остается необходимость в использовании смартфона.

Альтернативные мессенджеры, такие как Telegram, Viber, iMessage и Facebook Messenger, не требуют подключения к интернету мобильного устройства для их использования на компьютере. При этом вся переписка также синхронизируется.