데스크탑 또는 랩톱을 사용하여 왓츠앱에 액세스하는 것은 매우 편리하지만, 그렇게하기 전에 애플리케이션의 최신버전을 가지고 있는지 먼저 확인하십시오. 캘리포니아에 본사를 둔 페리미터엑스(PerimeterX)의 연구원인 갈 웨이즈먼(Gal Weizman)은 해커들이 코드 인젝션 메시지만을 통해 원격으로 당신의 컴퓨터에 접속할 수 있게하는 주요 결함을 데스크탑 플랫폼에서 발견하였습니다.
일단 이러한 메시지가 열리면, 공격자는 당신의 계정뿐만 아니라, 컴퓨터 파일에도 엑세스할 수가 있습니다. 애플리케이션이 최신 버전(0.4.612.0)으로 업데이트 되지 않았다면, 알 수 없는 출처에서 온 메시지를 함부로 열지 않아야 합니다.
또한 웨이즈먼은 서식있는 미리보기 배너를 쉽게 나타나게 만들 수 있는 결함을 발견하였습니다. 이 결함은 해커가 사용자에게 친숙한 미리보기 그림으로 위장한 악성 링크를 클릭하도록 하는데 사용됩니다. 이 뿐만이 아닙니다. 자바 스크립트 리디렉션(JavaScript redirect) 시도를 자동으로 차단하지 않는 브라우저를 사용하는 사용자는 훨씬 더 심각한 위협에 직면합니다.
웨이즈먼은 악의적인 웹 사이트로의 자동으로 리디렉션을 수행하도록 위장한 사용자에게 익숙한 미리보기 배너를 사용하여 크로스 사이트 스크립팅(XSS; Cross Site Scriting) 공격을 제작하여 플랫폼의 취약성을 악용 할 수 있음을 발견했습니다. 브라우저나 백신 소프트웨어가 리디렉션을 감지하여 이를 중지시키지 못한다면, 사용자는 악성 메시지를 열게 되며, 이는 수많은 문제를 야기할 수 있습니다. 이를 통하여 공격자는 읽기 권한을 얻을 수 있으며, 순차적으로 타겟 로컬 파일에 접근할 수 있습니다.
이 결함은 2016년 왓츠앱 데스크톱 출시 시점까지 거슬러 올라가며, 구 버전의 애플리케이션에 여전히 존재합니다. 하지만 웨이즈먼이 발견하기전에 해커가 이 결함을 이용했는지는 알려지지 않았습니다.
전문가들은 공격자를 막는 가장 좋은 방법은 최신 버전의 데스크톱 애플리케이션으로 업데이트하는 것이라고 생각합니다. 메시지를 읽기전에 자동으로 자바스크립트 링크를 검사하는 백신 소프트웨어나 최신 버전의 크롬 브라우저를 사용하면, 메시지가 열려 있었도 사용자에게는 안전망이 제공됩니다. 상대적으로 모바일 애플리케이션은 이 결함에 영향을 받지 않는 것으로 확인되고 있습니다.
페리미터엑스는 크로스 사이트 스크립팅 공격을 방지하기 위해서 조직 차원의 콘텐츠 보안 정책이 수립되어야 한다고 제안합니다. 또한 버그의 근원이 구글(Google)의 크로미엄(Chromium) 프레임워크에 기인한다는 연구결과가 있는 만큼, 구 버전 크로미엄에서 작동하는 모든 항목을 최신버전으로 업데이트하는 것을 권장합니다.
이 데스크톱 결함으로 인해 왓츠앱이 완전히 안전한지에 대한 논쟁이 다시 열리고 있습니다. 페이스북(Facebook) 소유의 애플리케이션 개발자들은 서버에 메시지나 녹음을 저장하지 않으며 종단간(E2E; End to End) 암호화를 사용하고 있기 때문에 사용자의 메시지를 모니터링하는 것조차 거의 불가능하다고 말하고 있습니다. 그러나 작년 해커들은 정교한 페가수스(Pegasus) 스파이웨어를 사용하여 보안벽을 뚫었습니다. 이 스파이웨어는 인도 정부가 2019년 총선에 출마한 공무원, 언론인 및 활동가를 감시하는데 사용된 것으로 알려져 있습니다.
이러한 취약점에도 불구하고 여전히 왓츠앱은 데이터 개인 정보 보호와 관련하여 가장 안전한 메시징 애플리케이션 중 하나로 간주됩니다. 그러나 더 많은 불안감을 일으킬 수 있는 다른 버그가 표면화되는 것은 시간문제일 뿐입니다.