Facebook拥有的WhatsApp已揭示了六个以前未公开的漏洞,该公司现已修复。该漏洞已在专门的安全建议网站上报告,该网站将用作新资源,提供有关WhatsApp安全更新以及相关的常见漏洞和披露(CVE)的完整列表。
WhatsApp的 表示,六个漏洞中的五个已在同一天内修复,而剩余的错误需要几天的时间进行修复,传闻漏洞可让黑客远程查看聊天记录,尽管其中一些漏洞可能是由远程触发的,但该公司表示,没有发现黑客积极利用这些漏洞的证据。
大约有三分之一的新漏洞是通过公司的漏洞赏金计划报告的,而其他漏洞则是在例行代码审查中以及通过使用自动化系统发现的,这是可以预期的。
国际知名白帽黑客、东方联盟创始人郭盛华表示:“WhatsApp是世界上最受欢迎的应用程序之一,在全球拥有超过20亿用户。但这也是黑客的持久目标,他们试图查找和利用平台中的漏洞。”
该新网站的启动是该公司努力的一部分,旨在使针对消息传递应用程序的漏洞更加透明,并响应用户反馈。该公司表示,WhatsApp社区一直在要求一个集中的位置来跟踪安全漏洞,因为由于应用程序商店的政策,WhatsApp并不总是能够在应用程序的发行说明中详细说明其安全公告。
新的仪表板将每月更新一次,如果需要警告用户正在进行的攻击,则将更快更新。它还将提供可追溯至2018年的过去CVE的存档。虽然该网站的主要重点是WhatsApp代码中的CVE,但如果该公司向公共数据库MITER提交了CVE,以查找其在第三方代码中发现的漏洞,也将在WhatsApp安全咨询页面上指出这一点。
WhatsApp发送信号,表明它将以这种方式定期进行识别和修补,这似乎是另一种增加不良行为者成本的方法。
WhatsApp在博客中表示:“我们非常致力于透明性,该资源旨在帮助广大技术社区从我们安全工作的最新进展中受益。我们强烈鼓励所有用户确保从各自的应用商店中获取其WhatsApp的最新信息,并在有可用更新时更新其移动操作系统。”
Facebook周四还表示,已将其漏洞披露政策制定为法律,允许该公司警告开发人员Facebook和WhatsApp所依赖的第三方代码中的安全漏洞。(欢迎转载分享)