São vários problemas encontrados que, se combinados, podiam levar a que os atacantes conseguissem roubar ficheiros de um computador em que a vítima estivesse a usar o Whatsapp na web, isto através de uma simples mensagem especialmente criada.

Esta falha é dada pelo CVE-2019-18426, e foi descoberta pelos investigadores da PerimeterX.

Através de uma falha de redirecionamento aberto, é possível explorar a aplicação e conduzir ataques de Cross-site scripting persistente, e aproveitar esta situação para dirigir ataques mais direcionados.

Caso a vítima visse a mensagem maliciosa no browser, esta situação podia levar a que o atacante pudesse executar código na sua máquina a partir do domínio web do whatsapp.

Outro vetor de entrada é através da Content Security Policy ou Política de Segurança de Contéudo, a partir da qual o atacante podia carregar payloads de Cross-site scripting de qualquer tamanho através de um iframe de um website criado pelo atacante na internet.

Atualizações já estão disponíveis e que corrigem este problema na versão web do programa,

Mais informações no site da equipa de segurança: https://www.perimeterx.com/tech-blog/2020/whatsapp-fs-read-vuln-disclosure/