WhatsApp Web: баги, мошенники и прочие радости

Сервис WhatsApp запустил веб-версию своего чата, а мы оценили его работу с точки зрения ИТ безопасности

WhatsApp Web: баги, мошенничество

В конце января была запущена веб-версия популярного мобильного чата WhatsApp — WhatsApp Web. Теперь чат можно запустить не только на мобильном устройстве, но и в любимом браузере, по крайней мере если ваш любимый браузер — Google Chrome и если вы не собираетесь синхронизировать WhatsApp Web с iPhone.

Как обычно, в основном Kaspersky Daily интересуют аспекты, касающиеся безопасности. И хотя сервис выпустили менее месяца назад, уже было обнаружено несколько уязвимостей и произошло несколько инцидентов, связанных с безопасностью.

Сразу внесем ясность: веб-клиент по сути является расширением мобильного приложения WhatsApp, позволяющим дублировать происходящее в браузере. Веб-версия будет работать только в том случае, если Android-приложение подключено к Сети. 17-летний техноблогер и исследователь из Индии Индраджит Бхуян обнаружил парочку интересных, хотя и не критических ошибок, возникающих при взаимодействии между веб-версией WhatsApp и мобильным оригиналом.

Один из найденных багов относится к удалению картинок. Если пользователь синхронизирует мобильный чат с веб-версией WhatsApp и удаляет какое-либо изображение, оно полностью исчезнет из мобильного приложения. Однако, согласно исследованиям Бхуяна, картинка останется доступной для просмотра в WhatsApp Web. Хорошая новость состоит в том, что с сообщениями этот трюк не работает: они удаляются из обеих версий чата одновременно.

Другая обнаруженная ошибка связана с настройками приватности в профиле. Пользователь может сделать свои изображения доступными для всех, для друзей из списка контактов или закрыть их вообще от всех пользователей. Однако пользователи веб-версии чата могут видеть любые изображения, даже те, которые их владелец отметил как «только для друзей».

Бхуян опубликовал результаты исследования в собственном техноблоге, который он ведет с 14 лет. Молодой человек также сообщил, что уже связался с WhatsApp и сейчас команда сервиса работает над устранением ошибок. Редакция Kaspersky Daily также обратилась за комментариями, но ответа от WhatsApp мы так и не дождались.

Сотрудник «Лаборатории Касперского» Фабио Ассолини недавно опубликовал исследование случаев мошенничества с веб-клиентами для WhatsApp. Мошенники создавали копию страницы загрузки WhatsApp, на которой пользователям предлагают установить фальшивое расширение для Google Chrome вместо оригинального плагина WhatsApp Web.

Что самое интересное, мошенники играли на опережение, эксплуатируя интерес публики к веб-версии WhatsApp задолго до ее массового распространения. Эксперты «Лаборатории Касперского» нашли несколько поддельных доменов, распространяющих фальшивые версии WhatsApp для Windows, — под видом чат-клиента жертвы получали банковского троянца.

Главное, что следует сделать перед установкой WhatsApp Web, — это проверить, с того ли веб-сайта вы его загрузили

Другие мошенники использовали популярность WhatsApp Web для сбора телефонных номеров. В дальнейшем их можно использовать для выкачивания денег из пользователей, подписав их на платные SMS-сервисы.

Какое-то время спустя (давайте дадим команде время на устранение первых ошибок) можно будет поинтересоваться, исправится ли WhatsApp и войдет ли он в число лучших чат-сервисов с точки зрения обеспечения безопасности и приватности своих пользователей.

На данный момент самый важный совет таков: главное, что следует сделать перед установкой WhatsApp Web, — это проверить, с того ли веб-сайта вы его загрузили.

Советы