WhatsApp — мессенджер, изначально созданный для мобильных устройств, но имеющий клиент, который работает также на ПК. Веб–клиент WhatsApp появился некоторое время назад на волне борьбы с неофициальными, которые создаются энтузиастами путем обратной инженерии.

Специалисты Check Point обнаружили, что через веб–клиент мессенджера WhatsApp можно пересылать исполняемые файлы, маскируя их под электронные визитки vCard. Из–за недоработки в клиенте была возможность заменить расширение файла визитки на .bat, и получатель бы этого не заметил. Если попытаться открыть такую «визитку» в браузере, команды из .bat–файла могут автоматически выполниться.

Затем исследователи выяснили, что можно даже не менять расширение, а лишь добавить некие символы в поле имени визитки, а в конечном итоге оказалось, что есть возможность отправить получателю не только пакетный файл, но и двоичный исполняемый.

CheckPoint уведомила WhatsApp о бреши в конце августа, и в компании уже выпустили исправленную версию клиента.