ثغرة فى واتساب WhatsApp تسمح للمهاجمين بالوصول إلى الملفات

اكتشف واتساب WhatsApp تطبيق التراسل الفوري أن لديه ثغرة أمنية حرجة قد تسمح للمهاجمين بالوصول عن بعد إلى الملفات من جهاز كمبيوتر يعمل بنظام Windows أو Mac.

ويمكن استغلال الثغرة الأمنية ، التي تم إصلاحها بواسطة فيسبوك Facebook ، باستخدام تطبيق سطح المكتب واتساب WhatsApp.

ولقد كانت الثغرة مزيجًا من العيوب متعددة الخطورة الموجودة داخل تطبيق سطح المكتب لواتساب WhatsApp.

كانت بعض هذه العيوب أيضًا جزءًا من عميل واتساب عبر الويب WhatsApp Web الذي يعمل على متصفحات الويب.

وهي مشكلة عدم الحصانة المسموح بها بشكل أساسي للبرمجة النصية للمواقع المشتركة (XSS) والتي يمكن استخدامها بواسطة المهاجمين عن بُعد.

اكتشف الباحث في PerimeterX Gal Weizman مشكلة عدم حصانة واتساب WhatsApp التي تم تتبعها على أنها CVE-2019-18426. ذكر الباحث أن ثغرة الأمان موجودة في سياسة أمان المحتوى (CSP) من واتساب WhatsApp التي سمحت لهجمات XSS على تطبيق سطح المكتب.

أثر الخلل في CSP أيضًا على عميل واتساب الويب WhatsApp Web إلى حد ما حيث يوفر مساحة لتغيير لافتات المعاينة الغنية ذات المحتوى الضار.

ذكر الباحث في إحدى التدوينات أن عميل الويب كان عرضة لخلل في إعادة التوجيه المفتوح كان يمكن أن يؤدي إلى استمرار هجمات البرمجة النصية عبر المواقع التي نشأت عن طريق إرسال رسائل وضعت خصيصًا لمستخدمي واتساب WhatsApp.

ومع ذلك ، تم العثور على نطاق الثغرة ليكون أوسع على تطبيق سطح المكتب لواتساب WhatsApp على ما تم اكتشافه على عميل الويب الخاص به.

ووجد الباحث أنه قادر على قراءة نظام الملفات وتحديد إمكانية تنفيذ التعليمات البرمجية عن بُعد (RCE) على تطبيق سطح المكتب.

الشيء الوحيد الذي كان على مستخدمي واتساب WhatsApp المتضررين فعله هو النقر على الرسالة المصممة خصيصًا لتوفير وصول خلفي للمهاجمين.

“لسبب ما ، لم تكن قواعد CSP مشكلة في التطبيق الذي يستند إلى Electron ، لذا فقد تم جلب حمولة خارجية باستخدام مورد جافا سكريبت البسيط” ، أوضح Weizman في منشور المدونة.

أظهر الباحث هجومًا قد يحدث باستخدام مشكلة عدم الحصانة من خلال إظهار لقطة شاشة تسليط الضوء على محتوى ملف المضيفين الذي تم إحضاره من كمبيوتر الضحية عن بُعد باستخدام تطبيق واتساب WhatsApp لسطح المكتب.

وقام فيسبوك Facebook بتصحيح مشكلة عدم الحصانة عند تلقي تنبيه من Weizman العام الماضي. علاوة على ذلك ، يتم تصنيف الضعف على أنه “مرتفع”.

“تسمح مشكلة عدم الحصانة في إصدارات WhatsApp Desktop قبل 0.3.9309 عند إقرانها مع إصدارات WhatsApp for iPhone قبل الإصدار 2.20.10 باستخدام البرمجة النصية عبر المواقع وقراءة الملفات المحلية.

ويتطلب استغلال الثغرة الأمنية أن يقوم الضحية بالنقر فوق معاينة ارتباط من نص معد خصيصًا الرسالة ، “يقرأ وصف مشكلة عدم حصانة  واتساب WhatsApp المتوفرة في بيانات الضعف الوطنية الأمريكية (NVD).

في أواخر الشهر الماضي ، كشف موقع NVD أن واتساب WhatsApp كشف عن أكثر من 12 نقطة ضعف في عام 2019 ، بما في ذلك سبع نقاط “حرجة”.

كان عدد الثغرات التي تم الكشف عنها أعلى بكثير من ثغرة أمنية واحدة أو عيبين في تطبيق المراسلة الفورية تم الإبلاغ عنه في السنوات القليلة الماضية.

المصدر : gedget360