• 發布單位:TWCERT/CC
• 更新日期:2020-05-20
• 點閱次數:2668

Facebook臉書旗下著名通訊軟體WhatsApp，被發現有重大安全漏洞，可能讓用戶私人檔案被有心人士竊取，並陷入網路釣魚的風險。

國外IT資訊網站The Hacker News報導，PerimeterX公司的研究員Gal Weizman在2月4日公布了多項來自通訊軟體WhatsApp的重大安全漏洞。幾乎所有平台之版本受影響，包括WhatsApp的Windows、Mac以及iOS、Android版本。

根據Gal Weizman最近於部落格公開的內容，攻擊者可將WhatsApp所傳送網頁連結的預覽內容，替換為知名網站之圖示，誘使使用者點擊。

當使用者點擊惡意連結時，將開啟惡意網頁並繞過WhatsApp的網頁內容安全原則（Content Security Policy, CSP），執行惡意程式碼，進行跨站腳本攻擊（Cross-Site Scripting, XSS），以竊取使用者的網頁快取資料（Cookie）。在Windows和Mac版本之WhatsApp，也會受到XSS攻擊，並竊取電腦中的用戶文件和檔案等，此安全漏洞甚至能讓駭客進一步進行遠端程式碼執行（Remote Code Execution, RCE）。

Gal Weizman指出，WhatsApp在編寫用戶端軟體時，使用了未更新的內核版本（Chromium/69），由於舊版的Chromium允許惡意的XSS程式碼在用戶端被執行，即使用戶使用最新版的WhatsApp版本，電腦也可能被攻擊。

該安全漏洞在2019年10月被WhatsApp之母公司Facebook證實，此重大安全漏洞也被臉書公司發布CVE漏洞（CVE-2019-18426）近年來，WhatsApp接連爆出多項重大的資安缺失。光是在2019年間，便有8項重大安全漏洞被公開。

WhatsApp表示，包括電腦及行動版本的應用程式，該項安全漏洞已於2019年12月被修復。建議使用者可以於官網或App商店下載最新版的應用程式以修復該漏洞。

CVE編號：CVE-2019-18426

受影響版本：桌面版版本 0.3.9309 以前、手機APP 版本 2.20.10 以前

解決方法：更新該軟體所發布之最新版本