Уязвимость использует приложение для персонального компьютера WhatsApp Web и позволяет злоумышленникам инфицировать компьютер жертвы, а также все устройства, синхронизированные через WhatsApp.

Уязвимость, обнаруженная Check Point, получила название MaliciousCard. Все, что нужно злоумышленникам для компрометации ПК, это номер телефона пользователя, привязанный к аккаунту WhatsApp, на который они отправляют визитную карточку vCard, содержащую вредоносный код. Визитная карточка оказывается исполняемым файлом, после открытия которого на компьютер могут быть загружены вирусы, включая ботов, программы-вымогатели, RAT и др.

WhatsApp провел проверку и признал наличие проблемы с безопасностью веб-клиента, а также выпустил обновление для ее устранения. Специалисты Check Point сообщили компании о наличии уязвимости 21 августа 2015 года. WhatsApp выпустила необходимые исправления 27 августа 2015 года. Чтобы убедиться, что WhatsApp аккаунт защищен, необходимо обновить WhatsApp Web до последней версии.

WhatsApp Web — это веб-расширение мобильного приложения WhatsApp. Веб-приложение дублирует все отправленные и полученные сообщения и полностью синхронизирует смартфон и компьютер, чтобы пользователи могли видеть все сообщения на двух устройствах. Приложение WhatsApp Web доступно для большинства платформ, поддерживающих WhatsApp, включая Android, iOS, Windows Phone 8.x, BlackBerry, BB10 и Nokia. Веб-интерфейсом WhatsApp пользуются по меньшей мере 200 млн подписчиков, учитывая публично доступные статистические данные веб-трафика.