Уязвимость в WhatsApp Web позволяет злоумышленникам получать полный контроль над устройствами пользователя

В популярном мессенджере WhatsApp Web обнаружена серьезная уязвимость, которая позволяет злоумышленникам устанавливать вредоносный код на компьютере пользователя. Воспользовавшись этой брешью, мошенники отправляют пользователю визитную карточку в формате vCard.
Уязвимость нашел исследователь Касиф Декел из Check Point. Он сообщил, что в веб-расширениях мессенджера WhatsApp Web имеются бреши, которые помогают даже начинающему хакеру заставить потенциальную жертву исполнить вредоносный код на своем мобильном устройстве. Для этого пользователь получает обычную визитную карточку, в которую уже встроена вредоносная программа. После открытия карточки файл самостоятельно запускается и поражает устройство различным вредоносным программным обеспечением, включая трояны удаленного доступа, трояны-вымогатели, боты и проч.

Чтобы провести подобную атаку, злоумышленнику достаточно узнать номер мобильного телефона, который привязан к учетной записи пользователя. Сделать это проще простого. Исходя из того, что приложение WhatsApp Web позволяет своему владельцу просматривать различный медиаконтент, вложения, файлы, картинки, фотографии, которые пересылаются в мобильной версии мессенджера, а также синхронизировать смартфон с настольным компьютером или ноутбуком, мошенники могут запросто заполучить доступ не только к мобильному устройству, но и к ПК. Объектом нападения традиционно являются сохраненные пароли от различных учетных записей, особенно от платежных систем и кошельков. Благодаря полному контролю над устройствами пользователя, злоумышленники могут перехватывать СМС с кодами и паролями, тем самым обходя двухфакторную защитную модель аутентификации.

Стоит отметить, что мессенджер WhatsApp Web за последние пару лет набрал невиданную популярность во всем мире. Уже на начало сентября 2015 года количество пользователей достигло 900 млн. человек. Для сравнения, в сентябре прошлого года эта цифра составляла 500 млн, а в декабре – уже 700 млн. уникальных пользователей. В последнее время многие пользователи стали возмущаться тем, что программа WhatsApp собирает и передает сведения о них третьей стороне. Руководство компании категорически опровергает эти слухи. Однако, бывший агент спецслужбы США Эдвард Сноуден также подтверждает эту информацию.