WhatsApp divulgue 6 failles dans l'application via un site de sécurité dédié

WhatsApp divulgue 6 failles dans l’application via un site de sécurité dédié

La société propriétaire de WhatsApp s’est engagée à plus de transparence sur les failles des applications, avec une page de conseil visant à mieux informer la communauté des vulnérabilités de sécurité.

WhatsApp, propriété de Facebook, a corrigé six vulnérabilités précédemment non divulguées dans sa plate-forme de chat, révélant le passage à un nouveau site de conseil de sécurité dédié visant à informer ses plus de 2 millions d’utilisateurs sur les bogues et à les tenir au courant de la sécurité des applications.

Le site fait partie d’un effort de WhatsApp pour être plus transparent sur les vulnérabilités de la plate-forme non seulement pour les utilisateurs, mais aussi pour la communauté de la sécurité, et les corriger en temps opportun. Ce dernier est quelque chose pour lequel l’entreprise a été critiquée dans le passé.

«Nous sommes très attachés à la transparence, et cette ressource est destinée à aider la communauté technologique au sens large à bénéficier des dernières avancées dans nos efforts de sécurité», a déclaré la société dans un message sur le nouveau site.

La page de conseil fournira une liste complète des mises à jour de sécurité WhatsApp et des vulnérabilités et expositions communes (CVE) associées, avec des descriptions destinées à aider les chercheurs à comprendre l’impact des bogues.

WhatsApp a déclaré qu’il maintiendrait «les meilleures pratiques de l’industrie» et ne divulguerait pas les problèmes de sécurité tant que les réclamations n’auraient pas été «pleinement étudiées», les «correctifs nécessaires» publiés et les mises à jour fournies via les magasins d’applications respectifs.

6 bogues de sécurité
WhatsApp a pris une longueur d’avance sur son nouvel engagement en matière de transparence avec quelques divulgations, révélant six bogues que la société a récemment corrigés, avant toute preuve qu’ils ont été exploités par des acteurs de la menace, a-t-il déclaré.

Certains bogues auraient pu être déclenchés à distance. L’un, CVE-2020-1890, était un problème de validation d’URL dans les versions Android de WhatsApp et WhatsApp Business pour Android qui aurait pu amener le destinataire d’un message autocollant contenant des données délibérément malformées à charger une image à partir d’une URL contrôlée par l’expéditeur sans utilisateur. interaction.

D’autres bogues nécessitaient une interaction de l’utilisateur, tels que CVE-2019-11928, un problème de validation d’entrée dans certaines versions de WhatsApp Desktop qui aurait pu permettre la création de scripts intersites si un utilisateur cliquait sur un lien à partir d’un message de localisation en direct spécialement conçu.

WhatsApp a déclaré qu’il continuerait de divulguer et de corriger les problèmes «aussi rapidement que possible», révélant que cinq des six bogues ont été corrigés le jour même où ils ont été découverts, selon un rapport publié . La dernière faille a pris un peu plus de temps – comme dans quelques jours – à corriger, a déclaré la société.

Certains des bogues ont été découverts via le programme Facebook bug-bounty , qui couvre également les problèmes de WhatsApp, tandis que d’autres ont été découverts lors de la révision du code, ou par le personnel de sécurité de l’entreprise et ses propres systèmes automatisés, selon le rapport.

Une plus grande transparence de WhatsApp sur les failles de la plate-forme est certainement la bienvenue, car l’année dernière, la société a révélé une vulnérabilité zero-day seulement après que les pirates l’utilisaient déjà pour installer des logiciels espions sur les smartphones des gens.

Facebook a ensuite poursuivi en justice la société israélienne et créateur du logiciel espion Pegasus NSO Group pour le piratage, alléguant qu’il avait développé le code de surveillance et utilisé des serveurs WhatsApp vulnérables pour envoyer des logiciels malveillants à environ 1400 appareils mobiles. NSO a nié tout acte répréhensible en la matière.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici