Uma imagem vale mais que mil palavras, mas um GIF vale mais que mil imagens.
Hoje, os clipes looping curtas, GIFs estão em toda parte-on sua mídia social, em seus quadros de mensagens, em suas conversas, ajudando os usuários perfeitamente expressar suas emoções, fazer as pessoas rirem, e reviver um destaque.
Mas e se um GIF de aparência inocente saudação com Bom dia, feliz aniversário, ou mensagem de Feliz Natal hacks seu smartphone?
Bem, não é uma idéia teórica mais.
WhatsApp corrigiu recentemente uma vulnerabilidade de segurança crítica no seu app para Android, que permaneceu sem correção por pelo menos 3 meses depois de ser descoberto, e se explorada, poderia ter permitido que hackers remotos para comprometer dispositivos Android e, potencialmente, roubar arquivos e mensagens de chat.
Vulnerabilidade de Execução Remota de Código WhatsApp
A vulnerabilidade, rastreado como CVE-2019-11932, é uma memória corrupção bug-double livre que não reside no código WhatsApp em si, mas em um open-source imagem GIF analisar biblioteca que WhatsApp utiliza.
Descoberto por Vietnamita pesquisador de segurança Pham Hong Nhat em maio deste ano, a questão conduz com sucesso a ataques de execução remota de código, permitindo que atacantes para executar código arbitrário em dispositivos de destino no contexto do WhatsApp com as permissões do aplicativo tem no dispositivo.
“A carga útil é executado sob contexto WhatsApp. Por isso, tem a permissão para ler o SDCard e acessar o banco de dados de mensagens WhatsApp”, disse o pesquisador The Hacker News em uma entrevista por email.
“Código malicioso terá todas as permissões que WhatsApp tem, incluindo a gravação de áudio, acessar a câmera, acessar o sistema de arquivos, bem como armazenamento sandbox do WhatsApp que inclui banco de dados de bate-papo protegida e assim por diante …”
Como a vulnerabilidade WhatsApp RCE funciona?
WhatsApp utiliza a biblioteca de análise em questão para gerar uma pré-visualização de arquivos GIF quando o usuário abre sua galeria de dispositivo antes de enviar qualquer arquivo de mídia para seus amigos ou família.
Assim, para ser observado, a vulnerabilidade não se desencadeou enviando um arquivo GIF malicioso para uma vítima; em vez disso executa quando a própria vítima simplesmente abre o WhatsApp Gallery Picker ao tentar enviar qualquer arquivo de mídia para alguém.
Para explorar esta questão, tudo que um atacante precisa fazer é enviar um arquivo GIF mal intencionado especialmente criado para um usuário Android alvo através de qualquer canal de comunicação on-line e esperar para que o usuário simplesmente abrir a galeria de imagens em WhatsApp.
No entanto, se os atacantes deseja enviar o arquivo GIF às vítimas através de qualquer plataforma de mensagens como WhatsApp ou Messenger, eles precisam enviá-lo como um arquivo de documento em vez de anexos de arquivos de mídia, porque a compressão de imagem usado por esses serviços distorce a carga maliciosa escondidos em imagens .
Como mostrado em um vídeo de demonstração de prova de conceito do pesquisador compartilhada com The Hacker News, a vulnerabilidade também pode ser explorado para pop-up simplesmente um shell reverso remotamente a partir do dispositivo invadido.
Aplicativos vulneráveis, Dispositivos e patches disponíveis
O problema afeta as versões WhatsApp 2.19.230 e versões mais antigas em execução no Android 8.1 e 9.0, mas não funciona para Android 8.0 e abaixo.
“Nas versões Android mais antigos, double-livre poderia ainda ser acionado. No entanto, por causa das chamadas malloc pelo sistema após o duplo-livre, o aplicativo só trava antes de chegar ao ponto que poderíamos controlar o registo PC”, o pesquisador escreve.
Nhat disse ao The Hacker News que ele relatou a vulnerabilidade para o Facebook, que possui WhatsApp, no final de julho deste ano, e a empresa incluiu um patch de segurança em WhatsApp versão 2.19.244, lançado em setembro.
Portanto, para proteger-se contra qualquer explorar em torno desta vulnerabilidade, é recomendado que você atualizar seu WhatsApp para a versão mais recente do Google Play Store assim que possível.
Além disso, uma vez que a falha reside em uma biblioteca de código aberto, também é possível que qualquer outro aplicativo Android usando a mesma biblioteca afetada também podem estar vulneráveis a ataques semelhantes.
O desenvolvedor da biblioteca GIF afetada, chamada Android GIF Drawable, também lançou a versão 1.2.18 do software para consertar a vulnerabilidade double-free.
WhatsApp para iOS não é afetado por esta vulnerabilidade.
