Специалисты Check Point обнаружили, что через веб-клиент мессенджера WhatsApp можно пересылать исполняемые файлы, маскируя их под электронные визитки vCard. Из-за недоработки в клиенте была возможность заменить расширение файла визитки на .bat, и получатель бы этого не заметил. Если попытаться открыть такую «визитку» в браузере, команды из .bat-файла могут автоматически выполниться.

Затем исследователи выяснили, что можно даже не менять расширение, а лишь добавить некие символы в поле имени визитки, а в конечном итоге оказалось, что есть возможность отправить получателю не только пакетный файл, но и двоичный исполняемый.

CheckPoint уведомила WhatsApp о бреши в конце августа, и в компании уже выпустили исправленную версию клиента.

WhatsApp — один из немногих мессенджеров, изначально созданных для мобильных устройств, но имеющих клиент, который работает также на ПК. Веб-клиент WhatsApp появился некоторое время назад на волне борьбы с неофициальными, которые создаются энтузиастами путем обратной инженерии протокола.