Через GIF-експлойт чати WhatsApp були вразливі до атак протягом декількох місяців

WhatsApp виправив критичну прогалину в безпеці, яка робила ваші приватні повідомлення та медіа вразливими для зловмисників. Баг дозволяв зловмисникам віддалено отримувати доступ до пам’яті вашого телефону та всіх файлів, що в ній зберігаються, включаючи ваші тексти, зображення, відео, GIF-файли та аудіоповідомлення в WhatsApp.

Для того, щоб скористатися багом, хакеру достатньо було надіслати вам шкідливе корисне навантаження, замасковане під GIF-файл, через будь-які канали, що не належать до Facebook, або у вигляді документа через WhatsApp та Messenger. Це пов’язано з тим, що на останніх платформах стиснення, яке використовує Facebook, спотворює вміст шкідливого програмного забезпечення.

Вразливість існувала всередині бібліотеки, яку WhatsApp (та багато інших додатків) використовує для попереднього перегляду GIF-файлів. Функції бібліотеки спрацьовують при натисканні на кнопку “Прикріпити медіа”, і WhatsApp завантажує сітку мініатюр. Таким чином, для спрацьовування шахрайського коду навіть не потрібно відкривати GIF-файл. Він автоматично активується, коли WhatsApp намагається показати мініатюру, навіть якщо ви шукаєте іншу картинку, відео або GIF-файл.

• Щойно придбали новий iPhone? Ось 12 порад та підказок, які допоможуть його освоїти
• Що таке Amazon Music: все, що потрібно знати
• Що таке ЦАП і навіщо він потрібен?

Помічена спочатку в’єтнамським дослідником безпеки Фам Хонг Нхатом, ця лазівка залишалася незалатаною близько трьох місяців.

Хонг Нхат повідомив про це Facebook ще наприкінці липня, і компанія-гігант соціальних мереж випустила виправлення через WhatsApp версії 2.19.244 у вересні. Тож якщо ви давно не оновлювали WhatsApp, ми рекомендуємо вам зробити це прямо зараз з Play Store.

Проблема торкнулася тільки телефонів Android, що працюють на Android 8.1 або вище, і не торкнулася жодної з версій iOS. Викликає подив, чому це вплинуло виключно на останні збірки Android, які, теоретично, мають кращі рамки конфіденційності. За іронією долі, Фам Хонг Нхат каже, що старіші версії використовують застарілий код, який перешкоджав виконанню корисного навантаження.

На щастя, розробник даної бібліотеки – Android GIF Drawable – також випустив патч. Таким чином, вразливість, скоріш за все, не призведе до витоку ваших даних в інших додатках, які використовують її для розбору GIF-файлів.

Нагадаємо, що на початку минулого місяця команда дослідників безпеки Google виявила ще одну вразливість у WhatsApp. Баг дозволяв зловмисникам отримувати доступ до чатів WhatsApp користувачів iOS, надсилаючи їм шкідливі посилання.

Рекомендації редакції

• Samsung Galaxy S23: дата виходу, характеристики, ціна, чутки та новини
• Як налаштувати новий телефон Samsung Galaxy як професіонал
• Ця прихована функція iOS 16 перетворила мій iPhone в ідеальний гаджет для пошуку музики
• Pixel Feature Drops раніше були вражаючими – тепер вони жахливо посередні
• Apple може зробити немислиме – дозволити стороннім магазинам додатків для iPhone

Source: digitaltrends.com