WhatsApp можно было взломать с помощью MP4-файла

Баг позволял злоумышленникам взломать устройства пользователей и похитить их данные. Об этом сообщается на сайте компании, передаёт inAtyrau.kz.

Все, что требовалось для удаленной эксплуатации бага – знать телефонный номер цели и отправить ей через WhatsApp вредоносный файл MP4. Такой файл мог приводить к автоматической установке бэкдора или шпионского приложения на скомпрометированное устройство, фактически передавая контроль в руки атакующих.

Уязвимость затрагивала WhatsApp для всех основных платформ, включая Google Android, Apple iOS и Microsoft Windows. По информации компании Facebook, которой принадлежит мессенджер, список уязвимых версий выглядит следующим образом:

• Android версии до 2.19.274;
• iOS версии до 2.19.100;
• Enterprise Client версии до 2.25.3;
• Windows Phone версии до 2.18.368 включительно;
• Business for Android версии до 2.19.104;
• Business for iOS версии до 2.19.100.

Данная уязвимость походит на проблему, о которой стало известно в мае 2019 года. Тогда неизвестные атаковали пользователей и незаметно устанавливали на их устройства шпионские программы. Заражение происходило с помощью звонка через мессенджер. Данные о входящем вызове сразу стирались. Программа, названная Pegasus, позволяла прослушивать жертв и вести фото- и видеосъемку.

Отмечено, что из-за эксплуатации программы-шпиона Facebook обратилась в суд с иском против израильской компании NSO Group, занимающейся разработкой и продажей шпионских решений и так называемой «легальной малвари». Дело в том, что по данным Facebook, сотрудники NSO Group не только знали о том баге, но и использовали его для взлома устройств более чем 1400 человек в Бахрейне, Объединенных Арабских Эмиратах и Мексике.