Cyber-Sicherheitsforscher haben a kritische JavaScript-Sicherheitslücke in der WhatsApp-Desktop-App vor den Versionen 0.3.9309. Ursprünglich von Gal Weizman von PerimeterX entdeckt, betrifft die Sicherheitsanfälligkeit sowohl die Windows- als auch die Mac-Version der App und könnte es Cyberkriminellen möglicherweise ermöglichen, Malware einzuschleusen oder Remotecodeausführung mit scheinbar harmlosen Nachrichten durchzuführen.
Laut der National Vulnerability Database ist die Sicherheitsanfälligkeit (CVE-2019-1842) "Wenn es mit WhatsApp für iPhone-Versionen vor 2.20.10 gekoppelt wird, können Cross-Site-Scripting und lokale Dateien gelesen werden." Im Wesentlichen können Cyberkriminelle Phishing- oder Ransomware-Kampagnen über Benachrichtigungsnachrichten ausführen, die auf den ersten Blick normal erscheinen.
Die kritischste Sicherheitsanfälligkeit ermöglichte es Angreifern offenbar, einfach bösartiges JavaScript in einer WhatsApp-Nachricht zu senden, um die Kontrolle über ein Zielgerät aus der Ferne zu übernehmen und lokale Dateien zu lesen.
WhatsApps Desktop-Anwendungen, die mit der Android- oder iOS-Version der App gekoppelt werden müssen, um zu funktionieren, werden mithilfe der Webbrowser-Technologie mit dem Electron-Framework erstellt. Wie sich herausstellte, verwendeten WhatsApp-Entwickler eine alte, veraltete Version von Chromium (Version 69), von der bereits bekannt war, dass sie diese Sicherheitsanfälligkeiten aufweist. Die Standardpraxis besteht darin, den Code immer mit der neuesten Version von Chromium zu aktualisieren, während Electron gemäß Weizman verwendet wird.
Die Desktop-Apps von WhatsApp haben weltweit mehr als 1,5 Milliarden Benutzer, und es ist nicht sofort klar, wie viele von ihnen von dem Problem betroffen sind. Facebook hat die Software bereits mit den erforderlichen Patches aktualisiert, sodass die neueste Version frei von Problemen sein sollte.
Wie bereits erwähnt, sind WhatsApp Desktop v0.3.9309 und frühere Versionen von der Sicherheitsanfälligkeit betroffen. Sie sollten daher so bald wie möglich auf die neueste Version aktualisieren. Weitere Informationen zu diesem Problem finden Sie auch in Weizmans Bericht im offiziellen PerimeterX-Blog.