WhatsApp – un simplu GIF ți-a afectat deja telefonul, dacă rulează pe sistemul de operare Android

WhatsApp – un simplu GIF ți-a afectat deja telefonul, dacă rulează pe sistemul de operare Android

O imagine valorează cât o mie de cuvinte, însă un GIF exprimă cât o mie de poze. În zilele noastre, scurtele clipuri simpatice și folosite pe Internet sunt cunoscute în toată lumea drept GIF-uri. Site-uri și platforme de social media, căsuțe de mesaje sau chat-uri, toate sunt doar câteva dintre locurile în care astfel de clipuri sunt utilizate și transmise, ajutând astfel utilizatorii să-și exprime perfect emoțiile – fericire, tristețe, râset, plâns și multe altele.

Dar ce se întâmplă dacă un mesaj aparent nevinovat transpus printr-un GIF cu „Bună dimineața”, „La mulți ani!” sau „Crăciun Fericit!” îți afectează telefonul? Din păcate, lucrul acesta nu rămâne doar la nivel teoretic – ci posibil ca deja să se fi și întâmplat.

Binecunoscuta aplicație WhatsApp a soluționat, recent, o vulnerabilitate critică în versiunea pentru Android. Înainte de a fi identificată modalitatea de rezolvare, dar după ce problema a fost descoperită, aceasta a rămas în stadiul respectiv timp de cel puțin 3 luni. Potrivit cercetătorilor în domeniul securității aplicației, în cazul în care vulnerabilitatea ar fi fost exploatată, ar fi putut permite hackerilor să compromită, de la distanță, dispozitiviele care rulează pe sistemele de operare Android și să fure fișiere și mesaje de chat.

Vulnerabilitatea WhatsApp de executare a codului de la distanță

Vulnerabilitatea, cunoscută drept CVE-2019-11932. este o eroare de folosire a funcției free de două ori în același bloc de memorie, care însă nu se află, de fapt, în codul WhatsApp în sine, ci într-o bibliotecă open-source de analizare a imaginilor GIF pe care aplicația o folosește.
Descoperită în luna mai a acestui an de către cercetătorul în domeniul securității aplicației, de origine vietnameză, Pham Hong Nhat, vulnerabilitatea conduce cu succes la executarea unor atacuri de la distanță, permițând atacatorilor să execute un cod arbitrat pe dispozitivele vizate în contextul WhatsApp, cu toate permisiunile pe care aplicația le are asupra telefonului.

Conform cercetătorului, payload-ul este executat în contextul aplicației WhatsApp. Prin urmare, acesta are permisiunea de a citi SDCard și de a accesa baza de date ce conține mesajele WhatsApp. Codul malware va dispune de toate permisiunile pe care aplicația le are, inclusiv înregistrarea audio, accesarea camerei, accesarea sistemului de fișiere, precum și stocarea sandbox-ului WhatsApp care include baza de date ce conține chat-ul și este protejată.

Cum funcționează vulnerabilitatea WhatsApp RCE?

WhatsApp folosește o bibliotecă de parsare pentru a genera o previzualizare a fișierelor GIF atunci când utilizatorii își deschid galeria înainte de a trimite orice fișier media către prieteni sau familie. Astfel, trebuie menționat faptul că vulnerabilitatea nu este declanșată prin trimiterea unui fișier GIF rău intenționat unei victime, ci de executarea codului atunci când victima însăși deschide, pur și simplu, WhatsApp Gallery Picker în timp ce încearcă să trimită orice fișier media către cineva.

Pentru a exploata această problemă, singurul lucru pe care un atacator trebuie să îl facă este să trimită un fișier malware tip GIF special conceput către un utilizator Android vizat prin orice canal de comunicare online și să aștepte ca acesta să deschidă doar galeria de imagini din WhatsApp.

Cu toate acestea, dacă atacatorii doresc să trimită fișierul GIF victimelor prin orice platformă de mesagerie, cum ar fi WhatsApp sau Messenger, trebuie să-l trimită ca fișier document, mai degrabă decât fișiere media atașate, deoarece compresia de imagine folosită de aceste servicii denaturează payload-ul ascuns în imagini.

Aplicații vulnerabilie, dispozitive și patch-uri disponibile

Problema afectează versiunile aplicației WhatsApp 2.19.230 și cele mai vechi care rulează pe sistemul de operare Android 8.1 și 9.0, dar nu funcționează pentru Android 8.0 și versiunile ulterioare.

În versiunile mai vechi de Android, folosirea duală a funcției free ar putea fi încă declanșată. Cu toate acestea, din cauza apelărilor malloc efectuate de sistem după funcția dublă free, aplicația se blochează înainte de a ajunge la punctul în care s-ar putea controla înregistrările PC-ului.

Aparent, cercetătorul Nhat a raportat deja vulnerabilitatea companiei Facebook, fiind totodată cea care deține WhatsApp, de la sfârșitul lunii iulie a acestui an. Cu toate acestea, compania a inclus un patch de securitate în versiunea cu numărul 2.19.2244 a aplicației WhatsApp, lansat în luna septembrie.

Prin urmare, pentru a vă proteja de orice modalitate de exploatare care înconjoară această vulnerabilitate, este recomandat să vă actualizați aplicația la cea mai recentă versiune din Google Play Store, cât mai curând posibil.

În afară de acest lucru, din moment ce defectul se află într-o bibliotecă open-source, este de asemenea posibil ca orice altă aplicație Android care utilizează aceeași bibliotecă afectată să fie, de asemenea, vulnerabilă la atacuri similare.

Dezvoltatorul bibliotecii GIF afectate, numit Android GIF Drawable, a lansat și versiunea 1.2.18 a software-ului pentru a remedia vulnerabilitatea și funcția dublă.

Versiunea aplicației WhatsApp pentru iOS nu este afectată de această problemă.

Suna acum!