WhatsApp: Luka bezpieczeństwa pozwala na wykonanie szkodliwego kodu poprzez GIF Strona główna Aktualności04.10.2019 22:12 (fot. Shutterstock.com) Udostępnij: O autorze Piotr Urbaniak @gtxxor Animacje GIF kojarzy chyba każdy. Załączamy je do życzeń czy żartów. Niewielu natomiast zdaje sobie sprawę, że tego rodzaju plik może być naprawdę niebezpieczny. Wszystko za sprawą błędu, który wystąpił w popularnym komunikatorze WhatsApp na Androida. Błąd odkrył wietnamski badacz bezpieczeństwa Pham Hong Nhat. Znajduje się w analizatorze składniowym GIF, a mówiąc prościej – bibliotece wykorzystywanej do obsługi GIF-ów. Otrzymał oznaczenie CVE-2019-11932. Korzystając z podatności, cyberprzestępca może dołączyć do animacji dowolny kod i wykonać go na smartfonie ofiary. Jest tylko jeden warunek. GIF musi zostać wysłany jako dowolny plik, a nie obrazek, gdyż w tym drugim przypadku szkodliwy kod usuną zastosowane algorytmy kompresji. Nieograniczone możliwości ataku Kiedy jednak napastnik prześle plik zgodnie z opisem, a ofiara go pobierze, to smartfon otwiera się na atak. Jaki konkretnie? To już zależy od inwencji przestępcy. Ekspert podaje przykład połączenia niniejszej podatności WhatsAppa z błędem pozwalającym na odczytanie zawartości pamięci przez przeglądarkę, co prowadzi do uzyskania przez napastnika dostępu do karty pamięci, a co za tym idzie wszystkich przechowywanych na urządzeniu danych. Co jednak ciekawe, zagrożeni są tylko posiadacze Androida 8.1 i nowszych. Starsze wersje systemu Google'a gorzej radzą sobie z alokacją pamięci, przez co–trochę paradoksalnie–są chronione. Apka ulegnie awarii i wyłączy się zanim dojdzie do wykonania szkodliwego kodu. Deweloperzy WhatsAppa wiedzą o podatności i już ją załatali. Ostatnia wersja, której dotyczy opisywany błąd, to 2.19.230. Niemniej wciąż wielu ludzi z niej korzysta. Chcąc zaoszczędzić sobie kłopotów, należy bezwzględnie zaktualizować WhatsAppa do najnowszej wersji. Oprogramowanie Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także WhatsApp Messenger Komunikatory 34 WhatsApp: ciemny motyw trafił do aplikacji na desktopy i do WhatsApp Web 9 lip Oskar Ziomek Oprogramowanie Internet 31 WhatsApp testuje nową funkcję. Odcisk palca zabezpieczy sesje WhatsApp Web wczoraj Oskar Ziomek Oprogramowanie Internet Bezpieczeństwo 3 WhatsApp nie dostanie reklam. Wymyślili coś gorszego 17 sty Arkadiusz Stando Oprogramowanie Internet Biznes 104
Udostępnij: O autorze Piotr Urbaniak @gtxxor Animacje GIF kojarzy chyba każdy. Załączamy je do życzeń czy żartów. Niewielu natomiast zdaje sobie sprawę, że tego rodzaju plik może być naprawdę niebezpieczny. Wszystko za sprawą błędu, który wystąpił w popularnym komunikatorze WhatsApp na Androida. Błąd odkrył wietnamski badacz bezpieczeństwa Pham Hong Nhat. Znajduje się w analizatorze składniowym GIF, a mówiąc prościej – bibliotece wykorzystywanej do obsługi GIF-ów. Otrzymał oznaczenie CVE-2019-11932. Korzystając z podatności, cyberprzestępca może dołączyć do animacji dowolny kod i wykonać go na smartfonie ofiary. Jest tylko jeden warunek. GIF musi zostać wysłany jako dowolny plik, a nie obrazek, gdyż w tym drugim przypadku szkodliwy kod usuną zastosowane algorytmy kompresji. Nieograniczone możliwości ataku Kiedy jednak napastnik prześle plik zgodnie z opisem, a ofiara go pobierze, to smartfon otwiera się na atak. Jaki konkretnie? To już zależy od inwencji przestępcy. Ekspert podaje przykład połączenia niniejszej podatności WhatsAppa z błędem pozwalającym na odczytanie zawartości pamięci przez przeglądarkę, co prowadzi do uzyskania przez napastnika dostępu do karty pamięci, a co za tym idzie wszystkich przechowywanych na urządzeniu danych. Co jednak ciekawe, zagrożeni są tylko posiadacze Androida 8.1 i nowszych. Starsze wersje systemu Google'a gorzej radzą sobie z alokacją pamięci, przez co–trochę paradoksalnie–są chronione. Apka ulegnie awarii i wyłączy się zanim dojdzie do wykonania szkodliwego kodu. Deweloperzy WhatsAppa wiedzą o podatności i już ją załatali. Ostatnia wersja, której dotyczy opisywany błąd, to 2.19.230. Niemniej wciąż wielu ludzi z niej korzysta. Chcąc zaoszczędzić sobie kłopotów, należy bezwzględnie zaktualizować WhatsAppa do najnowszej wersji. Oprogramowanie Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji