En sårbarhed i WhatsApp, der kan bruges til at gå på kompromis bruger chat sessioner, filer og beskeder via ondsindede Gif ‘ er blevet offentliggjort.
Det sikkerhedshul, CVE-2019-11932, er en dobbelt-gratis bug findes i WhatsApp til Android-versioner nedenfor 2.19.244.
En dobbelt-sårbarhed er, når de gratis() parameter kaldes to gange på den samme værdi & argument i software. Hukommelse så kan de lække eller blevet beskadiget, hvilket giver fjernangribere mulighed for at overskrive elementer.
Sådanne fejl kan føre til memory leaks, krak, og udførelse af vilkårlig kode.
Se også: Opdatering WhatsApp nu: Fejl lader snoopers sætte spyware på din telefon med blot et opkald
I dette tilfælde, som er beskrevet af forsker “Vækket”, der fandt problemet, det tog at udløse sårbarhed og udføre en Fjernkørsel af Programkode (RCE) angreb var oprettelsen af en ondsindet GIF-fil.
Ifølge forskeren er teknisk writeup på GitHub, kan fejlen udløses på to måder. Den første, som fører til lokal rettighedsforøgelse, kræver en ondsindet applikation til allerede være installeret på et mål Android-enhed. App derefter genererer en ondsindet GIF-fil, der bruges til at stjæle filer fra WhatsApp gennem indsamling af data bibliotek.
Det andet angreb kræver en bruger til at blive udsat for GIF nyttelast i WhatsApp som en vedhæftet fil eller via andre kanaler. (Hvis en GIF er sendt direkte gennem WhatsApp ‘ s Galleri Vælger, men angrebet vil mislykkes.) Når Galleri Visning er åbnet i programmet beskeder, GIF-fil, vil blive analyseret to gange og udløse en remote shell-app, der fører til succes RCE.
CNET: Tidligere Yahoo-ingeniør, erklærer sig skyldig i at hacking er 6.000 konti på jagt efter nøgenbilleder
Android-versioner 8.1 og 9.0 er udnyttelige, men ældre versioner af operativsystemet — Android 8.0 og nedenfor-er de ikke. Forskeren siger, at den dobbelt-gratis bug kan stadig blive udløst, men i ældre OS-versioner, der sker et nedbrud, før nogen skadelig kode, der kan udføres for at manipulere med chat-sessioner.
Den sikkerhed, forsker informeret Facebook af deres resultater. Den sociale medie gigant erkendte spørgsmål om sikkerhed og har lappet problemet i WhatsApp version 2.19.244.
En WhatsApp talsmand fortalte The Next Web, at der har været nogen rapporter af sårbarhed udnyttes i naturen og problemet blev rettet i sidste måned.
Selskabets repræsentant tilføjede, at “dette problem påvirker brugeren på afsenderens side, hvilket betyder, at spørgsmålet kunne, i teorien, forekommer, når brugeren tager skridt til at sende en GIF. Problemet ville påvirke deres egen enhed.”
Dog Vækket har bestridt om, at fejlen kan kun udløses af et offer at sende GIF, siger, “påstanden er ikke korrekt, [ … ] talsmand må have misforstået spørgsmålet.”
TechRepublic: Yahoo porno hacking brud viser, at der er behov for bedre sikkerhed: 5 måder at beskytte din virksomhed
Det anbefales, at WhatsApp brugere accepterer automatiske opdateringer til deres software, for at være beskyttet.
I August, Check Point afsløret svagheder i WhatsApp, som kan bruges til at opfange og manipulere med beskeder, for at ændre navnene på afsendere og til at sende meddelelser, der er markeret som privat, men faktisk stilles til rådighed for de offentlige grupper.
Tidligere og relaterede dækning
WhatsApp Betalinger, der kommer til Indien senere på året
Facebook, Instagram, og WhatsApp repareres uden en reel forklaring
WhatsApp sårbarheder ‘med at lægge ord i din mund,’ lader hackere overtage samtaler
Har du et tip? Komme i kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterede Emner:
Mobilitet
Sikkerhed-TV
Data Management
CXO
Datacentre