Pouze obrázek ve formátu GIF mohl napadnout váš telefon s Android přes WhatsApp

Obrázek stojí za tisíc slov, ale GIF stojí za tisíc obrázků.

Dnes jsou krátké smyčkové klipy GIF všude – na vašich sociálních médiích, na vašich nástěnkách, ve vašich chatech, pomáhají uživatelům dokonale vyjádřit své emoce, přimět lidi k smíchu a oživit konverzaci.

Avšak co když váš smartphone napadne nevinný od pohledu GIF s pozdravem Dobré ráno, Všechno nejlepší k narozeninám nebo Veselé Vánoce?

No, už to není teoretický nápad.

WhatsApp nedávno opravil kritickou bezpečnostní chybu ve své aplikaci pro Android, která zůstala neopravena po dobu nejméně 3 měsíců poté, co byla objevena, a pokud byla zneužita, mohla umožnit vzdáleným hackerům ohrozit zařízení Android a případně ukrást soubory a zprávy chatu.

Tato chyba zabezpečení, sledovaná jako CVE-2019-11932, je chyba poškození dvojité paměti, která se ve skutečnosti nenachází v samotném kódu WhatsApp, ale v knihovně s otevřeným kódováním obrázků GIF, kterou používá WhatsApp.

„Škodlivý kód bude mít všechna oprávnění, která má WhatsApp, včetně nahrávání zvuku, přístupu k fotoaparátu, přístupu k systému souborů a úložišti Sandbox WhatsApp, které zahrnuje chráněnou databázi chatů atd.…“

WhatsApp používá dotyčnou knihovnu pro analýzu k vygenerování náhledu pro soubory GIF, když uživatelé otevřou galerii zařízení před odesláním jakéhokoli mediálního souboru svým přátelům nebo rodině.

Je tedy třeba poznamenat, že zranitelnost se nespustí odesláním škodlivého souboru GIF oběti; místo toho se spustí, když samotná oběť jednoduše otevře WhatsApp Gallery Picker, zatímco se snaží někomu poslat jakýkoli mediální soubor.

Tento problém se týká WhatsApp verze 2.19.230 a starších verzí spuštěných na Android 8.1 a 9.0, ale nefunguje pro Android 8.0 a nižší.

Vietnamský výzkumný pracovník v oblasti bezpečnosti Pham Hong Nhat, jenž danou zranitelnost objevil, řekl The Hacker News, že zranitelnost nahlasil Facebooku, který vlastní WhatsApp, na konci července tohoto roku, a společnost zahrnula bezpečnostní záplatu do WhatsApp verze 2.19.244, vydané v září.

Zdroj: https://thehackernews.com/

,

Naše služby

Penetrační testování

Vyhledávání odposlechů

Rušičky odposlechů

Hardware

Školení

Následující příspěvek
Jak ochránit kriticky důležitá data před ztrátou či zpronevěrou
Předchozí příspěvek
Populární aplikace pro sledování periody sdílí data o Vašem sexuálním zdraví s Facebookem

Podobná témata

Menu