Об уязвимостях сообщается на специальном веб-сайте с рекомендациями по безопасности, который будет служить новым ресурсом, содержащим полный список обновлений безопасности WhatsApp и связанных с ними общих уязвимостей и уязвимостей (CVE).
WhatsApp сообщает, что пять из шести уязвимостей были исправлены в тот же день, а устранение оставшейся ошибки заняло пару дней. Хотя некоторые из ошибок могли быть вызваны удаленно, компания заявила, что не обнаружила свидетельств того, что хакеры активно использовали уязвимости.
Около одной трети новых уязвимостей было обнаружено в рамках программы Bug Bounty, а остальные были обнаружены в ходе рутинной проверки кода и с помощью автоматизированных систем, как и следовало ожидать.
WhatsApp — одно из самых популярных приложений в мире, которым пользуются более двух миллиардов пользователей по всему миру. Но это также постоянная цель для хакеров, которые пытаются найти и использовать уязвимости в платформе.
Новый веб-сайт был запущен в рамках усилий компании по обеспечению большей прозрачности в отношении уязвимостей, нацеленных на приложение для обмена сообщениями, и в ответ на отзывы пользователей. Компания заявляет, что сообщество WhatsApp просило централизованное место для отслеживания уязвимостей безопасности, поскольку WhatsApp не всегда может подробно описать свои рекомендации по безопасности в примечаниях к выпуску приложения из-за политики магазина приложений.
Новая панель инструментов будет обновляться ежемесячно или раньше, если она должна предупреждать пользователей об активной атаке. Он также предложит архив прошлых CVE, относящихся к 2018 году. Хотя основное внимание веб-сайта будет уделяться CVE в коде WhatsApp, если компания отправит CVE в общедоступную базу данных MITER для уязвимости, обнаруженной в стороннем коде, она будет обозначать это также на странице рекомендаций по безопасности WhatsApp.
В прошлом году WhatsApp стал публичным после исправления уязвимости, предположительно использованной израильским производителем шпионского ПО NSO Group. WhatsApp подала в суд на производителя шпионского ПО, утверждая, что компания использовала уязвимость для тайной доставки своего шпионского ПО Pegasus примерно на 1400 устройств, включая более 100 правозащитников и журналистов.
НСО опровергло обвинения.
Джон Скотт-Рейлтон, старший научный сотрудник Citizen Lab, в чью работу входило расследование NSO Group, приветствовал эту новость.
«Это хорошо, и мы знаем, что злоумышленники используют обширные ресурсы для обнаружения и использования уязвимостей», — сказал он TechCrunch. «WhatsApp, отправляющий сигнал о том, что он будет регулярно двигаться, чтобы идентифицировать и исправлять таким образом, кажется еще одним способом поднять расходы для злоумышленников».
В своем сообщении в блоге WhatsApp сказал: «Мы очень привержены принципам прозрачности, и этот ресурс предназначен для того, чтобы помочь более широкому технологическому сообществу воспользоваться последними достижениями в наших усилиях по обеспечению безопасности. Мы настоятельно рекомендуем всем пользователям следить за обновлением своего WhatsApp в соответствующих магазинах приложений и обновлять свои мобильные операционные системы при появлении обновлений ».
Facebook также заявила в четверг, что она систематизировала свою политику раскрытия уязвимостей, что позволяет компании предупреждать разработчиков об уязвимостях в стороннем коде, на которые полагаются Facebook и WhatsApp.