Bug WhatsApp Mungkin Membolehkan Peretas Membaca Fail Anda

WhatsApp menampal celah keselamatan dalam aplikasi desktopnya bulan lalu yang berpotensi membolehkan penggodam mengakses fail tempatan komputer anda. Ditemui oleh penyelidik keselamatan siber di PerimeterX, kerentanan tersebut mempengaruhi klien Windows dan Mac perkhidmatan pesanan ketika mereka dipasangkan dengan iPhone.

Kekurangan itu terdapat di dalam Dasar Keselamatan Kandungan WhatsApp, syarikat lapisan keselamatan tambahan yang sering digunakan untuk mencegah serangan tertentu dan memungkinkan pelaku hasad untuk memanipulasi mesej dan pautan melalui kaedah yang disebut Cross-Site Scripting.

Ketika pengguna mengetuk salah satu teks yang dicabul ini, mereka secara tidak sedar akan memberikan izin kepada penyerang untuk membaca fail tempatan komputer mereka, dan juga untuk menyuntik kod berbahaya. Walaupun kerentanan memang memerlukan interaksi dari pengguna untuk berfungsi, ada kemungkinan untuk melaksanakannya dari jarak jauh.

“Kerentanan di Desktop WhatsApp ketika dipasangkan dengan WhatsApp untuk iPhone memungkinkan skrip lintas-laman dan pembacaan fail tempatan. Mengeksploitasi kerentanan memerlukan mangsa mengklik pratonton pautan dari pesanan teks yang dibuat khas, ”tulis syarikat induk Facebook dalam nasihat keselamatan.

Bug mempengaruhi desktop Desktop WhatsApp sebelum v0.3.9309 dan WhatsApp untuk versi iPhone sebelum 2.20.10. Ia diperbaiki pada 21 Januari 2020. Oleh itu, untuk memastikan anda selamat, teruskan dan kemas kini aplikasi WhatsApp di komputer dan iPhone anda.

"Kerangka Chromium versi Google Chrome yang lebih lama, seperti yang digunakan oleh versi aplikasi desktop WhatsApp yang rentan, rentan terhadap suntikan kod ini, walaupun versi Google Chrome yang lebih baru memiliki perlindungan terhadap modifikasi JavaScript seperti itu. Penyemak imbas lain seperti Safari masih terbuka untuk kelemahan ini, ”jelas pengasas dan CTO PerimeterX, Ido Safruti.

Kerentanan tidak mempengaruhi Android kerana tidak seperti iOS, ia mempunyai perlindungan tambahan terhadap sepanduk Javascript. "IOS menghilangkan cek ini, yang membolehkan sepanduk dengan kandungan berbahaya dimuat pada peranti iOS," tambah jurucakap PerimeterX.

Pada tahun lalu, WhatsApp mengalami kesukaran untuk menjaga kerentanan keselamatan. Pada bulan November, raksasa pemesejan milik Facebook memperbaiki kesalahan yang dapat membiarkan peretas menguasai telefon dengan hanya fail MP4. Beberapa minggu yang lalu, didapati bahawa bug yang sama juga mengganggu data dan data sensitif Jeff Bezos Amazon. Ketua Pegawai Eksekutif Telegram kemudian, dalam catatan blog yang memalukan, menuduh WhatsApp sengaja menanam halaman belakang untuk agensi penguatkuasaan undang-undang dan menyembunyikannya sebagai pepijat ketika ditangkap.