ช่องโหว่ร้ายแรงบน WhatsApp นี้ทำให้แฮ็กเกอร์สามารถเข้าไปอ่านข้อมูลไฟล์ระบบบนเครื่องปัจจุบัน รวมทั้งเปิดทางให้โจมตีแบบ Cross-site Scripting ทั้งบนแพลตฟอร์มแมคและวินโดวส์ เวลาผู้ใช้แพร์ WhatsApp for iPhone กับเดสก์ท็อป
ช่องโหว่นี้กระทบกับ WhatsApp Desktop เวอร์ชั่นก่อนหน้า 0.3.9309 ที่แพร์กับ WhatsApp for iPhone เวอร์ชั่นก่อนหน้า 2.20.10 สำหรับช่องโหว่นี้ถูกรายงานโดยนักวิจัยของ PerimeterX ที่ชื่อ Gal Weizman ที่เป็นผู้ค้นพบ และลองใช้ช่องโหว่นี้เข้าไปแก้ไขแถบ Rich Preview ของ WhatsApp ด้วยลิงก์ฟิชชิ่งที่ออกแบบให้ดูเหมือนลิงค์ของจริง โดยระหว่างการค้นคว้าปกตินั้น เขาได้ค้นพบช่องโหว่ XSS จากการใช้ URI อย่าง javascript: จนได้ Persistent-XSS ที่ใช้เพียงคลิกเดียว
ช่องโหว่แบบ Cross-site Scripting นี้สามารถเกิดขึ้นได้ทั้งบนแมคและวินโดวส์ ด้วยการส่ง URL ที่ออกแบบมาเป็นพิเศษไปยังผู้ใช้ WhatsApp เวอร์ชั่นเดสก์ท็อป แต่โชคดีสำหรับผู้ใช้บราวเซอร์ที่พัฒนาจาก Chromium ที่มีกลไกป้องกันการโจมตีผ่านจาวาสคริปต์อยู่แล้ว
ที่มา : GBHackers
