Un bug dans l'application de bureau de WhatsApp permettait aux pirates de lire des fichiers locaux
Les chercheurs en cybersécurité ont identifié un vulnérabilité JavaScript critique dans l'application de bureau WhatsApp antérieures aux versions 0.3.9309. Découverte à l'origine par Gal Weizman de PerimeterX, la vulnérabilité affecte à la fois les versions Windows et Mac de l'application et pourrait potentiellement permettre aux cybercriminels d'injecter des logiciels malveillants ou d'exécuter du code à distance à l'aide de messages apparemment inoffensifs.
Selon la National Vulnerability Database, la vulnérabilité (CVE-2019-1842) « Lorsqu'il est associé à WhatsApp pour les versions iPhone antérieures à 2.20.10, il permet les scripts intersites et la lecture de fichiers locaux. » Essentiellement, il permet aux cybercriminels d’exécuter des campagnes de phishing ou de ransomware via des messages de notification qui semblent normaux à première vue.
La vulnérabilité la plus critique permettait apparemment aux attaquants d'envoyer simplement du code JavaScript malveillant dans un message WhatsApp pour prendre le contrôle d'un appareil cible à distance et lire des fichiers locaux.
Les applications de bureau de WhatsApp, qui doivent être associées à la version Android ou iOS de l'application pour fonctionner, sont construites à l'aide de la technologie de navigateur Web avec le framework Electron. Il s’avère que les développeurs de WhatsApp utilisaient une ancienne version obsolète de Chromium (version 69), déjà connue pour présenter ces vulnérabilités. La pratique standard consiste à toujours mettre à jour le code avec la dernière version de Chromium lors de l'utilisation d'Electron, selon Weizman.
Les applications de bureau de WhatsApp comptent plus de 1,5 milliard d'utilisateurs dans le monde, et il n'est pas immédiatement clair combien d'entre eux sont concernés par le problème. Facebook a déjà mis à jour le logiciel avec les correctifs requis, la dernière version devrait donc être exempte de ce problème.
Comme déjà mentionné, WhatsApp Desktop v0.3.9309 et les versions antérieures sont affectées par la vulnérabilité, vous devez donc mettre à jour vers la dernière version dès que possible. Vous pouvez également en apprendre davantage sur le problème grâce au rapport de Weizman sur le blog officiel de PerimeterX.