0

  • Votre panier est vide.

  • COMPTE

Plusieurs failles de sécurité de la plate-forme de bureau WhatsApp découvertes

Certains articles de veille peuvent faire l'objet de traduction automatique.

Un chercheur a découvert de nombreuses failles de sécurité dans la plate-forme WhatsApp Desktop pour Windows et macOS. Les vulnérabilités pourraient permettre à un attaquant d’accéder au système de fichiers local.

WhatsApp pour les failles de bureau découvertes

Le chercheur en sécurité Gal Weizman de PerimeterX a découvert de nombreuses failles de sécurité dans la plate-forme de bureau WhatsApp. Comme révélé dans son rapport, ces vulnérabilités pourraient permettre à un adversaire d’accéder au système de fichiers local.

En bref, lorsqu’il a commencé à tester WhatsApp, il a trouvé deux vulnérabilités qui affectaient toutes les principales plates-formes WhatsApp. Autrement dit, WhatsApp pour les versions Android, iOS, Mac, Windows et Web. Ces vulnérabilités n’étaient pas difficiles à exploiter mais avaient certainement un impact malveillant.

L’un d’eux était une simple modification des messages texte via WhatsApp Web en modifiant une ligne de code. Alors que l’autre vulnérabilité a permis de modifier les bannières des liens partagés dans les conversations WhatsApp. Une telle modification pourrait permettre à un adversaire de rediriger les utilisateurs vers des liens malveillants en leur montrant de fausses bannières et des messages trompeurs avec eux.

Le chercheur pourrait continuer l’exploitation des bogues à partir des simples redirections ouvertes pour obtenir un XSS persistant tout en contournant la politique de sécurité du contenu (CSP) de WhatsApp et, en outre, pour obtenir un accès en lecture au système de fichiers local.

Tout était possible puisque WhatsApp ne fonctionnait pas sur la dernière version d’Electron – une application basée sur Chromium qui facilite la création d’applications natives. Comme le XSS existait dans les anciennes versions de Chromium, les anciennes versions d’Electron sont également devenues vulnérables à de telles attaques. Comme indiqué par le chercheur,

Si WhatsApp avait mis à jour son application Web Electron de la version 4.1.4 à la dernière version 7.x.x au moment où cette vulnérabilité a été trouvée (!) – ce XSS n’aurait jamais existé!

Une telle exploitation avait également le potentiel pour l’exécution de code à distance.

Des détails précis sur l’exploitation sont disponibles dans son article.

Facebook a corrigé les vulnérabilités

Facebook a également confirmé l’existence de ces vulnérabilités (CVE-2019-18426) sur la plateforme WhatsApp Desktop. Comme indiqué dans leur consultatif,

Une vulnérabilité dans WhatsApp Desktop lorsqu’elle est associée à WhatsApp pour iPhone permet la création de scripts intersites et la lecture de fichiers locaux. Pour exploiter la vulnérabilité, la victime doit cliquer sur un aperçu du lien à partir d’un message texte spécialement conçu.

Facebook a confirmé que la vulnérabilité affectait «WhatsApp Desktop antérieur à la v0.3.9309 associé à WhatsApp pour les versions iPhone antérieures à 2.20.10».

Faites-nous part de vos réflexions dans les commentaires.

Voir aussi :

septembre 27, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)