最近幾個月,WhatsApp成為專家的攻擊目標,這不僅是因為Jeff Bezos遭受了嚴重的醫療侵害,還因為有報導表明2019年存在多個漏洞。
這只是去年8月發現的故障之一,如果您使用的是Web版本,則使Messenger服務可以訪問Windows或Mac文件。
在Checkpoint的人員發現漏洞之後,JavaScript專家Gal Weizman致力於調查此安全問題,並給出了該研究的有趣結論,例如該平台的Web版本。 Messenger是由Electron製作的,該工具可讓您創建基於Web的應用程序,這也是作為其他平台的代碼而經常出現的標準。
另外,Electron基於Chromium,它是Google Chrome引擎,與其他任何軟件一樣,也存在安全問題。
Weizman在此背景下發現的第一件事是,“通過使用WhatsApp網站,我可以找到包含消息元數據的對象形成的代碼行,對其進行處理,然後讓應用程序繼續正常運行,我發送消息,因此通過忽略用戶界面過濾機制來創建消息。”
然後我發現,就像在貝佐斯(Bezos)駭客中發生的那樣,通過從網址插入鏈接,您可以操縱最終目標,即使用偽裝和看起來像真實地址的地址重定向到我想要的任何站點。最上面:“在將橫幅發送給接收者之前,可以輕鬆地操縱橫幅的屬性。”
然後使用javascript,我能夠插入XSS惡意代碼。
“對於WhatsApp來說,幸運的是,基於Chromium的瀏覽器增加了針對 javascript:當我發現此漏洞時便是URI。不幸的是,對於WhatsApp,在其他瀏覽器(如Safari和Edge)中,此漏洞仍處於打開狀態。”
最後,它介紹了一種違反WhatsApp內容安全策略(CSP)的方法,後者是另一安全層。
Gal Weizman獨自完成此操作後的結論是:
- 如果您的應用程序使用豐富的預覽標語,並且這些標語是在發送方設計的,則在接收方的過濾應該是完美的。
- CSP規則非常重要,可能已避免了很多此類災難。如果正確配置了CSP規則,則此XSS所獲得的功能將大大降低,能夠避免CSP配置的攻擊者可以從受害者那裡竊取有價值的信息,輕鬆加載外部有效負載,甚至更多!
- 如果要使用Electron,則必須確保每次Chromium更新都會對其進行更新,這一點非常重要:Chromium更新不僅是有趣的新功能,在大多數Chromium更新中,嚴重的漏洞正在修復中。在更新Chromium時,還應該更新基於Electron的應用程序,否則,將使用戶毫無理由地受到嚴重漏洞的攻擊。
編輯推薦