Выполнить произвольный код в WhatsApp можно с помощью GIF

0
17

Разработчики WhatsApp для Android исправили в своем приложении опасный баг с релизом версии 2.19.244. Оказывается, при помощи обычного файла GIF на уязвимом устройстве можно было удаленно выполнить произвольный код и получить доступ к конфиденциальным данным пользователя.

Уязвимость обнаружил независимый ИБ-эксперт из Вьетнама, известный под псевдонимом Awakened. Баг относится к классу double-free и имеет идентификатор CVE CVE-2019-11932. Проблема позволяла удаленно выполнять код на устройствах под управлением Android 8.1 и 9.0, а в предыдущих версиях мобильной ОС баг можно было использовать только для провоцирования отказа в обслуживании (DoS).

Корень проблемы крылся в опенсорсной библиотеке libpl_droidsonroids_gif.so, которую WhatsApp использует для создания превью для файлов GIF. В настоящее время в библиотеке ошибку уже тоже исправили.

Эксплуатация бага включает в себя отправку жертве вредоносного файла GIF. Уязвимость «срабатывает» автоматически, когда целевой пользователь открывает галерею WhatsApp (например, желая отправить изображение одному из своих контактов). Однако использование уязвимость не так просто, как может показаться. Так, злоумышленник должен быть в списке контактов жертвы, чтобы вредоносный GIF-файл автоматически загружался на целевое устройство. Кроме того, удаленное выполнение кода может быть достигнуто только в том случае, если применение CVE-2019-11932 сочетать с другой уязвимостью или малварью, уже присутствующей на целевом устройстве.

Все технические подробности, а также PoC-эксплоит можно найти на страницах блога Awakened.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here

63 − = 54