按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

WhatsApp爆重大安全漏洞,用戶私人檔案可能遭竊

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-05-20
  • 點閱次數:2797
WhatsApp爆重大安全漏洞,用戶私人檔案可能遭竊 TWCERT/CC

Facebook臉書旗下著名通訊軟體WhatsApp,被發現有重大安全漏洞,可能讓用戶私人檔案被有心人士竊取,並陷入網路釣魚的風險。

國外IT資訊網站The Hacker News報導,PerimeterX公司的研究員Gal Weizman在2月4日公布了多項來自通訊軟體WhatsApp的重大安全漏洞。幾乎所有平台之版本受影響,包括WhatsApp的Windows、Mac以及iOS、Android版本。

根據Gal Weizman最近於部落格公開的內容,攻擊者可將WhatsApp所傳送網頁連結的預覽內容,替換為知名網站之圖示,誘使使用者點擊。

當使用者點擊惡意連結時,將開啟惡意網頁並繞過WhatsApp的網頁內容安全原則(Content Security Policy, CSP),執行惡意程式碼,進行跨站腳本攻擊(Cross-Site Scripting, XSS),以竊取使用者的網頁快取資料(Cookie)。在Windows和Mac版本之WhatsApp,也會受到XSS攻擊,並竊取電腦中的用戶文件和檔案等,此安全漏洞甚至能讓駭客進一步進行遠端程式碼執行(Remote Code Execution, RCE)。

Gal Weizman指出,WhatsApp在編寫用戶端軟體時,使用了未更新的內核版本(Chromium/69),由於舊版的Chromium允許惡意的XSS程式碼在用戶端被執行,即使用戶使用最新版的WhatsApp版本,電腦也可能被攻擊。

該安全漏洞在2019年10月被WhatsApp之母公司Facebook證實,此重大安全漏洞也被臉書公司發布CVE漏洞(CVE-2019-18426)近年來,WhatsApp接連爆出多項重大的資安缺失。光是在2019年間,便有8項重大安全漏洞被公開。

WhatsApp表示,包括電腦及行動版本的應用程式,該項安全漏洞已於2019年12月被修復。建議使用者可以於官網或App商店下載最新版的應用程式以修復該漏洞。

CVE編號:CVE-2019-18426

受影響版本:桌面版版本 0.3.9309 以前、手機APP 版本 2.20.10 以前

解決方法:更新該軟體所發布之最新版本

回頁首