Bir güvenlik araştırmacısının WhatsApp'ta bulduğu güvenlik açıkları, mesajlaşma platformunun sanıldığı kadar güvenli olmadığını gösterdi.
PerimeterX'ten Gal Weizman, JavaScript'i kullanarak site önizlemelerinin yanlış gösterilebildiğini ve bağlantıların zararlı sayfalara yönlendirilebildiğini keşfetti. WhatsApp'ın masaüstü uygulamasında bulunan açıklar, olta saldırıları düzenlemekte ve zararlı yaymakta kullanılabilir.
Weizman, WhatsApp'ın kullandığı İçerik Güvenliği İlkesinde (CSP) bulduğu bir açık sayesinde masaüstü uygulamasında "siteler arası komut dosyası oluşturmayı" (XSS) etkin hale getirdi. Bu, Mac ve Windows'ta yerel dosya sistemine okuma erişimi sağlamak anlamına geliyor. İşin daha kötüsü, tüm bunlar gerçekleşirken kullanıcı hiçbir şey fark etmeyebiliyor. Bu tür saldırılar, tek mesajın JavaScript kodunu alıcıya ulaşmadan değiştirerek gerçekleşiyor. WhatsApp'ın masaüstü platformunda mesajı oluşturan kodu bulan Weizman, bunun üzerinde oynayarak mesajları normal şekilde göndermeye devam etti. Bu sayede filtreleri aşmak ve değiştirilmiş mesajı uygulama üzerinden göndermek mümkün oldu.
Weizman, başta da söylediğimiz üzere bağlantı gönderildiğinde görünen web sitesi önizlemelerinin bile değiştirilebildiğini söylüyor.
Bu tür saldırılara karşı korunmak için koda benzeyen mesajlara dikkatle yaklaşmanızda fayda var. Tanımadığınız kişilerden gelen bağlantıları ise kesinlikle açmamanız gerekiyor.
WhatsApp, gelişme üzerine yaptığı bir açıklamada "teoride bağlantıya tıklayan iPhone kullanıcılarını etkileyebilecek" bu açığı hızla kapattığını, açığın aralık ayının ortasından beri kapatılmış durumda olduğunu söyledi.