WhatsApp, le programme de messagerie largement utilisé, a fixé une faille dangereuse dans son application Web qui pourrait être utilisé pour inciter les gens à installer des logiciels malveillants, selon Check Point.
La faille pourrait affecter plus de 200 millions de personnes qui utilisent l’interface Web de WhatsApp, écrit Oded Vanunu, consultez le gestionnaire du groupe de point pour la recherche et la pénétration de la sécurité.
« Tout un attaquant nécessaire à faire pour exploiter la vulnérabilité a été d’envoyer à un utilisateur un vCard apparemment innocente contenant un code malveillant, » écrit-il.

La faille a été trouvée par un chercheur de Check Point, Kasif Dekel. Il a constaté que la version Web de WhatsApp n’a pas filtré correctement les cartes de visite électroniques dans le format vCard.

Dekel a constaté qu’il était possible de changer l’extension du fichier pour une vCard à .bat ou un script exécutable du lot. WhatsApp pense est juste un utilisateur reçoit une vCard, mais il est en fait un code exécutable.
« Cela signifie une fois la victime clique sur le fichier téléchargé (qu’il assume est une carte de contact), le code dans le fichier de commandes exécute sur son ordinateur, » a écrit Dekel.

Un attaquant a juste besoin le numéro de téléphone de la victime pour envoyer le code malveillant et pour le destinataire de l’accepter.

Check Point a révélé la faille à WhatsApp le 21 août, et WhatApp publié une mise à jour pour les clients Web le 27 août La version mise à jour est v0.1.4481.

Check Point a attendu jusqu’à mardi pour divulguer publiquement la vulnérabilité.