Obrázek stojí za tisíc slov, ale GIF stojí za tisíc obrázků.
Dnes jsou krátké smyčkové klipy GIF všude – na vašich sociálních médiích, na vašich nástěnkách, ve vašich chatech. Pomáhají uživatelům dokonale vyjádřit své emoce, přimět lidi k smíchu a oživit konverzaci.
Avšak co když váš smartphone napadne nevinný od pohledu GIF s pozdravem Dobré ráno, Všechno nejlepší k narozeninám nebo Veselé Vánoce?
No, už to není teoretický nápad.
WhatsApp nedávno opravil kritickou bezpečnostní chybu ve své aplikaci pro Android. Ta zůstala neopravena po dobu nejméně 3 měsíců poté, co byla objevena. Pokud byla zneužita, mohla umožnit vzdáleným hackerům ohrozit zařízení Android a případně ukrást soubory a zprávy chatu.
Tato chyba zabezpečení, sledovaná jako CVE-2019-11932, je chyba poškození dvojité paměti. Ve skutečnosti se nenachází v samotném kódu WhatsApp, ale v knihovně s otevřeným kódováním obrázků GIF.
„Škodlivý kód bude mít všechna oprávnění, která má WhatsApp. A to včetně nahrávání zvuku, přístupu k fotoaparátu, přístupu k systému souborů a úložišti Sandbox WhatsApp, které zahrnuje chráněnou databázi chatů atd.…“
WhatsApp používá dotyčnou knihovnu pro analýzu k vygenerování náhledu pro soubory GIF. Tuto galerii uživatelé otevřou před odesláním jakéhokoli mediálního souboru svým přátelům nebo rodině.
Je tedy třeba poznamenat, že zranitelnost se nespustí odesláním škodlivého souboru GIF oběti; místo toho se spustí, když samotná oběť jednoduše otevře WhatsApp Gallery Picker, zatímco se snaží někomu poslat jakýkoli mediální soubor.
Tento problém se týká WhatsApp verze 2.19.230 a starších verzí spuštěných na Android 8.1 a 9.0, ale nefunguje pro Android 8.0 a nižší.
Vietnamský výzkumný pracovník v oblasti bezpečnosti Pham Hong Nhat, jenž danou zranitelnost objevil, řekl The Hacker News, že zranitelnost nahlasil Facebooku, který vlastní WhatsApp, na konci července tohoto roku, a společnost zahrnula bezpečnostní záplatu do WhatsApp verze 2.19.244, vydané v září.
Zdroj: https://thehackernews.com/