WhatsApp khắc phục lỗ hổng nguy hiểm trong ứng dụng Web

Một lỗ hổng có thể khiến khoảng 200 triệu người dùng bị lợi dụng để cài đặt mã độc.

WhatsApp, một phần mềm nhắn tin được sử dụng rộng rãi, đã khắc phục một lỗ hổng nguy hiểm trong ứng dụng Web của nó, mà có thể được khai thác để lừa đảo người dùng cài đặt mã độc, theo Check Point.

Lỗ hổng này có thể ảnh hưởng đến khoảng 200 triệu người sử dụng giao diện web của WhatsApp, theo bài viết của Oded Vanunu, quản lý nhóm của Check Point về nghiên cứu an ninh và thâm nhập.
“Tất cả những gì tin tặc cần phải làm để khai thác lỗ hổng này là gửi cho người dùng một vCard dường như bình thường nhưng có chứa mã độc,” ông viết.
Lỗ hổng này được tìm thấy bởi một chuyên gia của Check Point, Kasif Dekel. Ông thấy rằng phiên bản Web của WhatsApp không để lọc đúng cách các danh thiếp điện tử ở định dạng vCard.
Dekel thấy rằng có thể thay đổi phần mở rộng của một tập tin vCard thành .bat, hoặc một tập tin thực thi. WhatsApp cho rằng người dùng chỉ nhận được một vCard, nhưng đó thực sự là mã lệnh thực thi.
“Điều này có nghĩa là ngay khi nạn nhân nhấn vào tập tin đã tải về (mà được giả mạo là một danh thiếp liên lạc), mã lệnh bên trong tập tin sẽ được thực thi trên máy tính của nạn nhân,” Dekel viết.
Tin tặc chỉ cần số điện thoại của nạn nhân để gửi mã độc và cho người nhận chấp nhận nó.
Check Point công bố lỗ hổng này cho WhatsApp vào ngày 21 tháng 8, và WhatApp đã phát hành một bản cập nhật cho người dùng Web vào ngày 27 tháng 8. Phiên bản mới cập nhật là v0.1.4481.
Check Point chờ đến thứ Ba này để công bố lỗ hổng.