WhatsAppの脆弱性を悪用され、被害者のコンピュータ上のファイルにリモートアクセスされる可能性があります。ただし、iPhoneアプリと連携したデスクトップクライアントを使用している場合です。パッチがリリースされているので、インストールしてください。
セキュリティ企業PerimeterXのバグハンター、ガル・ワイズマン氏が、CVE-2019-18426を発見し報告しました。これはクロスサイトスクリプティングの脆弱性で、攻撃者は細工したメッセージを送信するだけで、他のユーザーのローカルファイルシステムに侵入できる可能性があります。このセキュリティバグは、Facebookによって1月にWhatsAppデスクトップ版バージョン0.3.9309以降で修正されました。
この脆弱性は、インスタントメッセージアプリのWindows版とMac版が、メッセージ内のウェブリンクのプレビューであるバナーと呼ばれる部分を処理する方法に存在します。悪意を持って作成されたバナーに埋め込まれたJavaScriptコードは、保護メカニズムを回避し、標的のローカルファイルシステムにアクセスする可能性があります。
サウジアラビア皇太子、マルウェアを仕込んだWhatsAppメッセージでジェフ・ベゾスの携帯電話をハッキングしたとして告発される
続きを読む
「WhatsAppでは、バナーは送信者側で生成されます。これは理解しておくべき重要な点です」とワイツマン氏は述べた。「受信者に送信する前に、バナーのプロパティを簡単に改ざんできてしまうのです。」
ワイズマン氏は、この脆弱性の核心は、WhatsAppがデスクトップクライアントのユーザーインターフェースを提供するために使用しているアプリケーションフレームワークElectronのChromiumブラウザエンジンにあると付け加えた。クロスサイトスクリプティングのバグはChromiumではしばらく前に修正されたが、WhatsAppはブラウザエンジンの脆弱なビルドを含む古いバージョンのElectronを使用していた。
「Electronは、標準的なWeb機能を使用して「ネイティブ」アプリケーションを作成できる優れたプラットフォームです」とワイツマン氏は説明した。
これにより、多くの大企業にとって、Webアプリケーションとネイティブデスクトップアプリケーションの両方で1つのソースコードを使用できるようになるため、作業が非常に簡単になります。Electronは、その基盤となるプラットフォームであるChromiumとともに、常にアップデートされています。
つまり、WhatsAppのデスクトップクライアントは、古くて安全でないChromiumビルドを使用したElectronのバージョン上に構築されており、しばらく前に修正された脆弱性の影響を受けていました。その結果、ユーザーは潜在的に攻撃を受ける可能性がありました。ユーザーと管理者は、より最新のスタック上に構築された最新バージョンのWhatsAppにアップデートすることで、攻撃から身を守ることができます。®
