WhatsApp a fixé une faille dangereuse dans son application Web qui pourrait être utilisé pour inciter les gens à installer des logiciels malveillants, selon Check Point.
La faille pourrait affecter plus de 200 millions de personnes qui utilisent l’interface Web de WhatsApp, écrit Oded Vanunu, consultant recherche et pénétration sécurité.
« Tout ce que un attaquant à faire est d’envoyer à un utilisateur une vCard innocente contenant un code malveillant, » écrit-il.
La faille a été trouvée par un chercheur de Check Point, Kasif Dekel. Il a constaté que la version Web de WhatsApp ne filtrait pas correctement les cartes de visite électroniques dans le format vCard.
Dekel a constaté qu’il était possible de changer l’extension du fichier d’une vCard .bat ou d’un script exécutable pour que quand un utilisateur reçoit une vCard, il y est en fait un code exécutable. « Cela signifie q’une fois la victime clique sur le fichier téléchargé (qu’il assume est une carte de contact), le code dans le fichier de commandes s’exécute sur son appareil, » a écrit Dekel.
Un attaquant a juste besoin du numéro de téléphone de la victime pour envoyer le code malveillant et pour le destinataire de l’accepter.
Check Point a révélé la faille à WhatsApp le 21 août, et WhatApp a publié une mise à jour pour les clients Web le 27 août. La version mise à jour est v0.1.4481.
Check Point a attendu jusqu’à mardi pour divulguer publiquement l’information.