Разработчики WhatsApp недавно запустили веб-версию собственного сервиса, однако Check Point обнаружила серьёзную брешь в системе безопасности, которая делает процесс использования сервиса небезопасным. Из-за программной недоработки знающий хакер может без особых проблем с помощью WhatsApp заниматься распространением вредоносного ПО. Проблема заключается в пересылке виртуальных визитных карточек в текстовом формате vCard, в которой может быть скрыт вредоносный код.

После открытия пользователем этой карточки хакер получает доступ к его системе. Он может дистанционно устанавливать на компьютер программы-вымогатели, боты, инструменты для дистанционного доступа к пользовательским данным и т. д. vCard — это стандартизированный файл, который содержит имя, номер телефона, электронный адрес и другие контактные данные. Чтобы совершить атаку, злоумышленнику достаточно знать номер мобильного телефона жертвы, к которому привязан аккаунт WhatsApp. Веб-версия WhatsApp автоматически открывает вложения, отправленные с мобильного приложения, включая изображения, видео, аудиофайлы и vCard.

Компания уже успела выпустить обновление, исправляющее уязвимость — все версии веб-клиента после 0.1.4481 уже её содержат.

Web-клиент для WhatsApp был запущен в начале 2015 г. К концу февраля появились версии для трёх основных браузеров: Chrome, Firefox, Opera. Отметку в полмиллиарда активных подписчиков мессенджер покорил в апреле 2014 г. Если такие темпы роста сохранятся, то к концу 2015 г. количество пользователей может достигнуть 1 млрд. человек.

Версия для печати (без изображений)