Выполнить произвольный код в WhatsApp можно с помощью GIF

Разработчики WhatsApp для Android исправили в своем приложении опасный баг с релизом версии 2.19.244. Оказывается, при помощи обычного файла GIF на уязвимом устройстве можно было удаленно выполнить произвольный код и получить доступ к конфиденциальным данным пользователя.

Уязвимость обнаружил независимый ИБ-эксперт из Вьетнама, известный под псевдонимом Awakened. Баг относится к классу double-free и имеет идентификатор CVE CVE-2019-11932. Проблема позволяла удаленно выполнять код на устройствах под управлением Android 8.1 и 9.0, а в предыдущих версиях мобильной ОС баг можно было использовать только для провоцирования отказа в обслуживании (DoS).

Корень проблемы крылся в опенсорсной библиотеке libpl_droidsonroids_gif.so, которую WhatsApp использует для создания превью для файлов GIF. В настоящее время в библиотеке ошибку уже тоже исправили.

Эксплуатация бага включает в себя отправку жертве вредоносного файла GIF. Уязвимость «срабатывает» автоматически, когда целевой пользователь открывает галерею WhatsApp (например, желая отправить изображение одному из своих контактов). Однако использование уязвимость не так просто, как может показаться. Так, злоумышленник должен быть в списке контактов жертвы, чтобы вредоносный GIF-файл автоматически загружался на целевое устройство. Кроме того, удаленное выполнение кода может быть достигнуто только в том случае, если применение CVE-2019-11932 сочетать с другой уязвимостью или малварью, уже присутствующей на целевом устройстве.

Все технические подробности, а также PoC-эксплоит можно найти на страницах блога Awakened.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (1)

  • Давно отказался от этого "софта" и судя по статье сделал правильно. Удивляет тот факт, что баг обнаружен только сейчас, когда проблемы со сбросом данных в Сеть существуют ну ОЧЕНЬ давно.