Уязвимость в WhatsApp поставила под угрозу миллионы пользователей

Александр Панасенко 09 Сентября 2015 - 10:20

...

WhatsApp Web — это вебовая реализация популярного мессенджера WhatsApp. Плагин для браузера на десктопе отображает все те же сообщения и полностью синхронизируется с WhatsApp на телефоне. Из 900 миллионов пользователей WhatsApp порядка 200 миллионов также используют WhatsApp Web, согласно открытой статистике.

Исследователь Казиф Декел из компании Check Point обнаружил серьезную уязвимость, в которой используются возможности WhatsApp Web. Уязвимость позволяет атакующему запускать произвольный код на машинах жертв. Всё, что нужно сделать злоумышленнику для ее эксплуатации — это отправить контакты в формате vCard с добавлением вредоносного кода. Когда карточка будет открыта, код запустится и сможет заразить компьютер жертвы, передает xakep.ru.

Чтобы поразить определенную цель, злоумышленнику понадобится лишь телефонный номер, связанный с аккаунтом.

В WhatsApp уже провели проверку и подтвердили существование уязвимости. Было выпущено обновление, и чтобы защитить себя, следует обновить WhatsApp Web до последней версии.

В Check Point своей находкой поделились с WhatsApp 21 августа 2015 года. 27 августа в WhatsApp создали первый патч (он доступен начиная с версии 0.1.4481), и отключили уязвимую функцию.

WhatsApp Web позволяет пользователям отправлять любые типы медиаконтента — картинки, видео, аудио, геокоординаты и карточки с контактами. Уязвимость заключается в недостаточной фильтрации карточек с контактами в популярном формате vCard.

Карточка с вредоносным кодом ничем не отличается от обычной, и многие пользователи, не задумываясь, кликнут по ней. В результате скачается файл, который сможет запуститься на пользовательском компьютере.

В своем исследовании Декел обнаружил, что перехватывая и изменяя запросы XMPP к серверу WhatsApp, можно изменять расширения файла с карточкой.

Исследователь попробовал изменить расширение на .bat и отправить файл со скриптом для консоли Windows. Как оказалось, при клике на такой карточке содержимое исполняется на компьютере получателя.

Чтобы исполнить вредоносный код, злоумышленник также может изменить атрибут «Имя» в карточке, добавляя к нему знак & и команды. Дальнейшие исследования показали, что не нужно даже перехватывать трафик XMPP. Любой пользователь может создать вредоносную карточку в приложении WhatsApp на мобильном телефоне.

Дальше исследователь попытался передать исполняемые файлы в формате PE (.exe) через функцию отправки файлов. Поскольку WhatsApp использует стандарт XMPP, можно вставить содержимое файла прямо в код сообщения, не прибегая к ссылкам на внешние ресурсы.

NUMBER или GROUPID — номер жертвы или ID группы;
ID — идентификационный номер сообщения;
TIMESTAMP — время отправки;
FILENAME — название файла vCard — что-то.exe;
FILEDATA — файл в двоичном виде.

WhatsApp не проверит данные и позволит нагрузке запуститься. Если добавить нехитрый трюк с привлекательным значком и заголовком, то эффект будет ещё сильнее.

Следующая главная новость »

Информационные технологии 2025. Подводим итоги года на эфире AM Live.
Присоединяйтесь! »

Екатерина Быстрова 24 Декабря 2025 - 08:58

Windows Ошибки конфигурации программ Домашние пользователи

Найден способ вернуть старый быстрый WhatsApp в Windows 10 и 11

В этом месяце разработчики перевели WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) для Windows на рельсы прогрессивного веб-приложения — и, судя по реакции пользователей, сделали это зря. Reddit, форумы и соцсети быстро наполнились жалобами: новый клиент прожорлив к ресурсам, работает нестабильно и в целом ощущается как шаг назад по сравнению со старым нативным приложением.

Особенно много негатива досталось версии UWP, которую Meta (признана экстремистской и запрещена в России) убрала из Microsoft Store.

Да, идеальной она не была, но работала быстрее, потребляла меньше памяти и в целом выглядела как «настоящая» Windows-программа, а не обёртка вокруг веб-версии. Неудивительно, что пользователи массово просят вернуть старый клиент.

Официального способа откатиться назад, конечно, нет. Но, как выяснилось, полностью закрыть эту дверь Meta всё же не успела.

Энтузиасты нашли способ установить последнюю UWP-версию WhatsApp вручную. Для этого потребуется две вещи: установочный файл старого клиента и временно отключённые обновления Microsoft Store. Второй пункт критически важен — иначе Windows тут же обновит приложение до новой PWA-версии, и вся затея пойдёт насмарку.

Кратко схема выглядит так:

1. Удалить текущий WhatsApp. Если приложение уже установлено — удалите его через контекстное меню.

2. Отключить автообновления Microsoft Store. Зайдите в Microsoft Store → профиль → Параметры магазина и выключите Автоматические обновления. При запросе выберите максимальную паузу — 5 недель.

3. Скачать установщик старой версии. Речь идёт о MSIXBUNDLE-файле последней UWP-версии WhatsApp, который был сохранён до удаления приложения из магазина. Его нельзя скачать напрямую из Microsoft Store — Meta убрала все старые версии.

Важно: файл сторонний, так что перед установкой стоит проверить цифровую подпись. Если не доверяете источнику — лучше не рисковать.

4. Установить приложение вручную. Достаточно дважды кликнуть по файлу и нажать «Установить».

После этого на устройстве снова появится старый нативный WhatsApp для Windows — быстрый, привычный и без веб-начинки.

Способ временный. Через пять недель Microsoft Store автоматически включит обновления и попытается обновить все приложения, включая WhatsApp. Тогда процедуру придётся повторить заново — если, конечно, старый клиент к тому моменту всё ещё будет работать.

Кроме того, никаких обновлений — ни функциональных, ни безопасности — вы больше не получите. Так что это решение для тех, кто осознанно готов пожертвовать поддержкой ради комфорта.

Информационные технологии 2025. Подводим итоги года на эфире AM Live.
Присоединяйтесь! »