Check Point Research ha annunciato la scoperta di una vulnerabilità nella popolare piattaforma di messaggistica WhatsApp che consentiva agli aggressori di leggere informazioni sensibili dalla memoria di WhatsApp.
WhatsApp ha riconosciuto il problema e ha rilasciato un correzione di sicurezza per esso nel mese di febbraio.
La piattaforma di messaggistica, considerata la più popolare a livello globale con circa due miliardi di utenti attivi mensili, presentava una “vulnerabilità di lettura-scrittura fuori limite” relativa alla funzionalità di filtro delle immagini della piattaforma, secondo Check Point Research.
I ricercatori hanno notato che lo sfruttamento della vulnerabilità avrebbe “richiesto passaggi complessi e un'ampia interazione con l'utente”. WhatsApp ha affermato che non ci sono prove che la vulnerabilità sia stata abusata.
La vulnerabilità è stata attivata “quando un utente ha aperto un allegato che conteneva un file di immagine pericoloso, quindi ha provato ad applicare un filtro e quindi ha inviato l'immagine con il filtro applicato all'attaccante”.
Check Point i ricercatori hanno scoperto la vulnerabilità e l'hanno divulgata a WhatsApp il 10 novembre 2020. A febbraio, WhatsApp ha rilasciato una correzione nella versione 2.21.1.13. che ha aggiunto due nuovi controlli sulle immagini sorgente e sulle immagini filtro.
WhatsApp, Facebook per affrontare la task force per la protezione dei dati dell'UE
WhatsApp e la sua società madre Facebook sono state invitate a incontrare una task force per la protezione dei dati dopo presunte non conformità con le leggi europee sui dati.
Leggi di più
“Circa 55 miliardi di messaggi vengono inviati ogni giorno su WhatsApp, con 4,5 miliardi di foto e 1 miliardo di video condivisi al giorno. Abbiamo concentrato la nostra ricerca sul modo in cui WhatsApp elabora e invia le immagini. Abbiamo iniziato con alcuni tipi di immagini come bmp, ico, gif , jpeg e png e abbiamo utilizzato il nostro laboratorio di fuzzing AFL presso Check Point per generare file non validi”, spiega il rapporto.
“Il fuzzer AFL prende una serie di file di input e applica loro varie modifiche in un processo chiamato mutazione. Questo genera un ampio set di file modificati, che vengono quindi utilizzati come input in un programma di destinazione. Quando il programma testato si blocca o si blocca a causa a questi file creati, questo potrebbe suggerire la scoperta di un nuovo bug, forse una vulnerabilità di sicurezza.”
Da lì, i ricercatori hanno iniziato a “sfumare” le librerie di WhatsApp e si sono presto resi conto che alcune immagini non potevano essere inviate, costringendo il team a trovare altri modi per utilizzare le immagini. Hanno optato per i filtri immagine perché richiedono un numero significativo di calcoli ed erano un “candidato promettente per causare un arresto anomalo”.
Il filtraggio delle immagini comporta “la lettura dei contenuti dell'immagine, la manipolazione dei valori dei pixel e la scrittura dei dati su un nuova immagine di destinazione”, secondo i ricercatori di Check Point, che hanno scoperto che “il passaggio da un filtro all'altro sui file GIF creati ha effettivamente causato l'arresto anomalo di WhatsApp”.
“Dopo un po' di reverse engineering per rivedere i crash che abbiamo ottenuto dal fuzzer, abbiamo trovato un crash interessante che abbiamo identificato come un danneggiamento della memoria. Prima di continuare la nostra indagine abbiamo segnalato il problema a WhatsApp, che ci ha dato un nome per questa vulnerabilità: CVE -2020-1910 Limiti di lettura e scrittura basati su heap. Ciò che è importante in questo problema è che, data una serie di circostanze molto particolare e complicata, potrebbe aver potenzialmente portato all'esposizione di informazioni sensibili dall'applicazione WhatsApp,” hanno detto i ricercatori.
“Ora che sappiamo di avere Heap Based fuori dai limiti di lettura e scrittura secondo WhatsApp, abbiamo iniziato a scavare più a fondo. Abbiamo decodificato la libreria libwhatsapp.so e utilizzato un debugger per analizzare la causa principale dell'arresto anomalo. Abbiamo scoperto che la vulnerabilità risiede in una funzione nativa applyFilterIntoBuffer() nella libreria libwhatsapp.so.”
Il crash è causato dal fatto che WhatsApp presuppone che sia la destinazione che le immagini di origine abbiano le stesse dimensioni e un immagine sorgente” di una certa dimensione può portare a un accesso alla memoria fuori dai limiti, causando un arresto anomalo.
La correzione per la vulnerabilità ora convalida che il formato dell'immagine è uguale a 1, il che significa che sia l'immagine sorgente che quella del filtro devono essere in formato RGBA. La nuova correzione convalida anche la dimensione dell'immagine controllando le dimensioni dell'immagine.
In una dichiarazione, WhatsApp ha affermato di apprezzare il lavoro di Check Point, ma ha osservato che nessuno dovrebbe preoccuparsi della crittografia end-to-end della piattaforma.
“Questo rapporto prevede più passaggi che un utente avrebbe dovuto intraprendere e non abbiamo motivo di credere che gli utenti sarebbero stati colpiti da questo bug. Detto questo, anche gli scenari più complessi identificati dai ricercatori possono aiutare ad aumentare la sicurezza per gli utenti”, ha spiegato WhatsApp.
“Come con qualsiasi prodotto tecnologico, consigliamo agli utenti di mantenere aggiornate le proprie app e i propri sistemi operativi, di scaricare gli aggiornamenti ogni volta che sono disponibili, di segnalare messaggi sospetti e di contattarci se riscontrare problemi con WhatsApp.”
Facebook, che possiede WhatsApp, ha annunciato a settembre 2020 che avrebbe lanciato un sito Web dedicato all'elenco di tutte le vulnerabilità identificate e corrette per il servizio di messaggistica istantanea.
Sicurezza
T-Mobile hack: tutto ciò che devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA La minaccia ransomware è in crescita: cosa deve succedere per impedire che gli attacchi peggiorino? (ZDNet YouTube)Argomenti correlati:
Data Management Security TV CXO Data Center 