Изображение GIF могло взломать ваш телефон Android с помощью WhatsApp

Изображение GIF могло взломать ваш телефон Android с помощью WhatsApp

Картинка стоит тысячи слов, а GIF стоит тысячи картинок.

Сегодня GIF-файлы есть везде — в ваших социальных сетях, на досках объявлений, в ваших чатах, помогая пользователям превосходно выражать свои эмоции, заставляя людей смеяться и вновь получать удовольствие.

Но что, если невинное на вид приветствие GIF с сообщением «Доброе утро», «С днем рождения» или «Счастливого Рождества» взломает ваш смартфон?

Поздравляю, это больше не теоретическая идея.

WhatsApp недавно исправил критическую уязвимость в своем приложении для Android, которая оставалась не исправленной в течение как минимум ТРЕХ месяцев после обнаружения и, если бы ее использовали, она могла позволить удаленным хакерам взломать устройства Android и потенциально украсть файлы и сообщения чата.

Уязвимость WhatsApp, связанная с удаленным выполнением кода

Уязвимость, отслеживаемая как CVE-2019-11932, является ошибкой двойного освобождения памяти, которая на самом деле находится не в самом коде WhatsApp, а в библиотеке синтаксического анализа изображений GIF с открытым исходным кодом, которую использует WhatsApp.

Обнаруженная вьетнамским исследователем безопасности Фам Хонг Нхатом в мае этого года, эта проблема успешно приводит к атакам на удаленное выполнение кода, позволяя злоумышленникам выполнять произвольный код на целевых устройствах в контексте WhatsApp с разрешениями, которые приложение имеет на устройстве.

«Полезные данные выполняются в контексте WhatsApp. Поэтому у них есть разрешение на чтение SDCard и доступ к базе данных сообщений WhatsApp», — сказал исследователь в интервью Hacker News по электронной почте.

«Вредоносный код будет иметь все разрешения, которыми обладает WhatsApp, включая запись звука, доступ к камере, доступ к файловой системе, а также хранилище песочницы WhatsApp, которое включает в себя защищенную базу данных чата и т. Д.»

Как работает WhatsApp RCE Vulnerability?

WhatsApp использует рассматриваемую библиотеку для анализа файлов GIF, когда пользователи открывают галерею своего устройства перед отправкой медиа-файла своим друзьям или семье.

Таким образом, следует отметить, что уязвимость не срабатывает при отправке вредоносного файла GIF жертве; вместо этого он выполняется, когда жертва сама открывает средство выбора галереи WhatsApp при попытке отправить кому-либо какой-либо медиафайл.

Чтобы использовать эту проблему, злоумышленнику нужно только отправить специально созданный вредоносный GIF-файл целевому пользователю Android через любой канал онлайн-общения и подождать, пока пользователь просто откроет галерею изображений в WhatsApp.

Однако, если злоумышленники хотят отправить GIF-файл жертвам через любую платформу обмена сообщениями, такую как WhatsApp или Messenger, ему необходимо отправить его в виде файла документа, а не вложения медиа-файлов, поскольку сжатие изображений, используемое этими службами, искажает вредоносную полезную нагрузку, скрытую в изображениях.

Уязвимые приложения, устройства и доступные патчи

Эта проблема затрагивает версии 2.19.230 WhatsApp и более ранние версии, работающие на Android 8.1 и 9.0, но не работает на Android 8.0 и ниже.

Нхат рассказал The Hacker News, что сообщил об уязвимости Facebook, которому принадлежит WhatsApp, в конце июля этого года, и что компания включила исправление безопасности в версию WhatsApp 2.19.244, выпущенную в сентябре.

Поэтому, чтобы защитить себя от любой уязвимости, связанной с этой уязвимостью, рекомендуется как можно скорее обновить приложение WhatsApp до последней версии из магазина Google Play.

Помимо этого, поскольку недостаток находится в библиотеке с открытым исходным кодом, также возможно, что любое другое приложение Android, использующее ту же уязвимую библиотеку, также может быть уязвимо для подобных атак.

Разработчик уязвимой библиотеки GIF под названием Android GIF Drawable также выпустил версию 1.2.18. программного обеспечения для исправления двойной уязвимости.

Эта уязвимость не распространяется на WhatsApp для iOS.

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь

Владимир Безмалый

О безопасности и не только