WhatsApp: Luka bezpieczeństwa pozwala na wykonanie szkodliwego kodu poprzez GIF

Animacje GIF kojarzy chyba każdy. Załączamy je do życzeń czy żartów. Niewielu natomiast zdaje sobie sprawę, że tego rodzaju plik może być naprawdę niebezpieczny. Wszystko za sprawą błędu, który wystąpił w popularnym komunikatorze WhatsApp na Androida.

Błąd odkrył wietnamski badacz bezpieczeństwa Pham Hong Nhat. Znajduje się w analizatorze składniowym GIF, a mówiąc prościej – bibliotece wykorzystywanej do obsługi GIF-ów. Otrzymał oznaczenie CVE-2019-11932. Korzystając z podatności, cyberprzestępca może dołączyć do animacji dowolny kod i wykonać go na smartfonie ofiary.

Jest tylko jeden warunek. GIF musi zostać wysłany jako dowolny plik, a nie obrazek, gdyż w tym drugim przypadku szkodliwy kod usuną zastosowane algorytmy kompresji.

Kiedy jednak napastnik prześle plik zgodnie z opisem, a ofiara go pobierze, to smartfon otwiera się na atak. Jaki konkretnie? To już zależy od inwencji przestępcy. Ekspert podaje przykład połączenia niniejszej podatności WhatsAppa z błędem pozwalającym na odczytanie zawartości pamięci przez przeglądarkę, co prowadzi do uzyskania przez napastnika dostępu do karty pamięci, a co za tym idzie wszystkich przechowywanych na urządzeniu danych.

Co jednak ciekawe, zagrożeni są tylko posiadacze Androida 8.1 i nowszych. Starsze wersje systemu Google'a gorzej radzą sobie z alokacją pamięci, przez co–trochę paradoksalnie–są chronione. Apka ulegnie awarii i wyłączy się zanim dojdzie do wykonania szkodliwego kodu.

Deweloperzy WhatsAppa wiedzą o podatności i już ją załatali. Ostatnia wersja, której dotyczy opisywany błąd, to 2.19.230. Niemniej wciąż wielu ludzi z niej korzysta. Chcąc zaoszczędzić sobie kłopotów, należy bezwzględnie zaktualizować WhatsAppa do najnowszej wersji.