WhatsApp爆重大安全漏洞,用戶私人檔案可能遭竊
- 發布單位:TWCERT/CC
- 更新日期:2020-05-20
- 點閱次數:2797
Facebook臉書旗下著名通訊軟體WhatsApp,被發現有重大安全漏洞,可能讓用戶私人檔案被有心人士竊取,並陷入網路釣魚的風險。
國外IT資訊網站The Hacker News報導,PerimeterX公司的研究員Gal Weizman在2月4日公布了多項來自通訊軟體WhatsApp的重大安全漏洞。幾乎所有平台之版本受影響,包括WhatsApp的Windows、Mac以及iOS、Android版本。
根據Gal Weizman最近於部落格公開的內容,攻擊者可將WhatsApp所傳送網頁連結的預覽內容,替換為知名網站之圖示,誘使使用者點擊。
當使用者點擊惡意連結時,將開啟惡意網頁並繞過WhatsApp的網頁內容安全原則(Content Security Policy, CSP),執行惡意程式碼,進行跨站腳本攻擊(Cross-Site Scripting, XSS),以竊取使用者的網頁快取資料(Cookie)。在Windows和Mac版本之WhatsApp,也會受到XSS攻擊,並竊取電腦中的用戶文件和檔案等,此安全漏洞甚至能讓駭客進一步進行遠端程式碼執行(Remote Code Execution, RCE)。
Gal Weizman指出,WhatsApp在編寫用戶端軟體時,使用了未更新的內核版本(Chromium/69),由於舊版的Chromium允許惡意的XSS程式碼在用戶端被執行,即使用戶使用最新版的WhatsApp版本,電腦也可能被攻擊。
該安全漏洞在2019年10月被WhatsApp之母公司Facebook證實,此重大安全漏洞也被臉書公司發布CVE漏洞(CVE-2019-18426)近年來,WhatsApp接連爆出多項重大的資安缺失。光是在2019年間,便有8項重大安全漏洞被公開。
WhatsApp表示,包括電腦及行動版本的應用程式,該項安全漏洞已於2019年12月被修復。建議使用者可以於官網或App商店下載最新版的應用程式以修復該漏洞。
CVE編號:CVE-2019-18426
受影響版本:桌面版版本 0.3.9309 以前、手機APP 版本 2.20.10 以前
解決方法:更新該軟體所發布之最新版本