WhatsApp był podatny na atak GIF‑em. Tę samą dziurę może mieć 28 tys. aplikacji

W popularnym komunikatorze WhatsApp znaleziona została luka zabezpieczeń, pozwalająca na atak z użyciem grafiki w formacie GIF. WhatsApp już ją naprawił, ale nie oznacza to, że już nic nam nie grozi.

Ta sama luka może znajdować się w ponad 28 tysiącach aplikacji mobilnych. Jedyną metodą obrony jest ostrożność: nie otwieraj GIF-ów od nieznajomych. To nie będzie proste. Pliki graficzne z krótkimi animacjami są bardzo istotnym elementem współczesnej komunikacji przez internet.

Mowa o podatności o numerze CVE-2019-11932, o której informowaliśmy na początku października. Znajdowała się ona w bibliotece, czyli w komponencie dostarczonym przez innych autorów, który mogą wykorzystywać różne aplikacje. Konkretnie chodzi o bibliotekę przetwarzającą grafiki w formacie GIF (animowane), a konkretnie android-gif-drawable.

Specjalnie spreparowany GIF mógłby zawierać szkodliwy program, który zostanie uruchomiony na smartfonie po otwarciu obrazka. W skrócie można powiedzieć, że zawirusowany GIF zainfekuje smartfona. Konsekwencje mogą być różne, na czele z kradzieżą danych. Z biblioteki tej korzysta nie tylko WhatsApp, ale też tysiące innych aplikacji. Dokładnie… ponad 28 tysięcy.

Ktoś popełnił błąd, który naraża użytkowników Androida. W opisie luki została wymieniona tylko najpopularniejsza aplikacja, w której możliwy jest atak – WhatsApp. W efekcie autorzy wielu innych aplikacji mogą wciąż nie wiedzieć, że ich produkty mają dziury. My też nie mamy możliwości, by dowiedzieć się, które z tych aplikacji są podatne na ataki. Jako że WhatsApp jest już bezpieczny, exploity (programy wykorzystujące istniejące błędy) wymierzone w tę lukę zostały już publicznie udostępnione do dalszej analizy.

Marcin Kozlowski, specjalista z Berlina, słusznie zauważył, że na ten sam atak mogą być podatne też inne aplikacje. Sam znalazł lukę w starszej wersji komunikatora Viber 11.6.0.15. Mówimy tu o komunikatorze głosowym, który ma pomad miliard użytkowników. Aktywnie korzysta z niego 260 mln osób miesięcznie w 193 krajach. Aktualny Viber 11.9.1 jest już zabezpieczony, więc jeśli jesteś w gronie użytkowników Vibera, upewnij się, że masz najnowszą wersję z Google Play.

Na liście znajduje się też Instagram, ale możemy spokojnie założyć, że tu też luka została już załatana – w końcu Instagram i WhatsApp należą do jednego właściciela. Z tej samej biblioteki korzysta też aplikacja Steam (sklepu z grami i platformy społecznościowej dla graczy), aplikacje Yahoo, Lenovo, Tik-Tok, Camera260 i wiele innych.

Will Dormann pracujący w amerykańskiej centrali CERT (Computer Emergency Response Team) przygotował listę wszystkich aplikacji, korzystających z podatnej biblioteki. Znajdują się na niej zarówno projekty pobrane tylko kilka razy, jak i takie mające setki tysięcy pobrań z Google Play. Dormann przekazał już łatkę naprawiającą lukę autorom wadliwej biblioteki. Nowe wersje będą więc odporne na ataki, ale to tylko kropla w morzu potrzeb. Nie ma szans, by autorzy wszystkich podatnych aplikacji wydali aktualizacje. Jestem wręcz przekonana, że większość tego nie zrobi.

Najgorsze jest to, że takie sytuacje nie są nowością i będą się powtarzać. W ubiegłym tygodniu opisywaliśmy niemal identyczny przypadek. Luka mająca niemal 3 lata trafiła do tak popularnych aplikacji, między innymi do Facebooka. Została przeniesiona razem z biblioteką do dekodowania filmów.

Bez WhatsApp'a nie wyobrażamy sobie komunikowania się. Trochę przerażają nas pojawiające się w nim luki, które można skutecznie „załatać” z oprogramowaniem Bitdefender.

Aplikacje tego kalibru korzystają niekiedy z setek bibliotek, dostarczonych przez zewnętrznych programistów. To wielkie ułatwienie pracy, ale też ogromne ryzyko. Zmiana tego stanu rzeczy wymagałaby przebudowania od podstaw całego „ekosystemu” pracy wszystkich programistów, ale jak to zrobić? Jeszcze długo nie będziemy mieli zadowalającej odpowiedzi.