whatsapp-account-hacking.png

一幅图片值得一千个单词,但是一个GIF值一千幅图片。

如今,短循环剪辑,GIF随处可见-在社交媒体上,在留言板上,在聊天中,可以帮助用户完美表达自己的情绪,让人发笑并重拾亮点。

但是如果:使用早上好,生日快乐或圣诞快乐的消息给人以纯真的GIF问候,会导致您的手机被入侵么?

好吧,不再是一个理论上的想法了。

WhatsApp最近在其Android应用程序中修复了一个严重的安全漏洞,该漏洞在被发现后至少3个月未修复,并且如果被利用,可能会使远程黑客入侵Android设备并可能窃取文件和聊天消息。

WhatsApp远程执行代码漏洞

该漏洞跟踪为CVE-2019-11932,是一个双重释放内存损坏的错误,它实际上并不存在于WhatsApp代码本身中,而是存在于WhatsApp使用的开源GIF图像解析库中。

hacking-whatsapp-account.gif

该问题 由越南安全研究员Pham Hong Nhat于今年5月发现,成功地触发远程执行代码攻击,攻击者可以利用该应用程序获得设备权限,在WhatsApp的上下文中在目标设备上执行任意代码。

研究人员在接受电子邮件采访时告诉《黑客新闻》:“有效载荷是在WhatsApp上下文中执行的。因此,它有权读取SDCard并访问WhatsApp消息数据库。”

“恶意代码将具有WhatsApp拥有的所有权限,包括录制音频,访问摄像头,访问文件系统,以及WhatsApp的沙箱存储(包括受保护的聊天数据库等)……”

WhatsApp RCE漏洞如何工作?

当用户在将任何媒体文件发送给他们的朋友或家人之前打开设备库时,WhatsApp使用有问题的解析库为GIF文件生成预览。

因此,需要注意的是,不会通过向受害者发送恶意GIF文件来触发漏洞。相反,当受害者本身只是在尝试将任何媒体文件发送给某人时,仅打开WhatsApp Gallery Picker时便执行该命令。

要利用此问题,攻击者所需要做的就是通过任何在线通信渠道将特制的恶意GIF文件发送给目标Android用户,然后等待该用户仅在WhatsApp中打开图片。

但是,如果攻击者想通过诸如WhatsApp或Messenger的任何消息传递平台将GIF文件发送给受害者,则他们需要将其作为文档文件而不是媒体文件附件发送,因为这些服务使用的图像压缩会扭曲隐藏在图像中的恶意有效载荷。

正如研究人员与《黑客新闻》分享的概念验证视频演示中所示,也可以利用此漏洞从受攻击的设备远程弹出一个反向shell。

易受攻击的应用程序,设备和可用补丁

该问题会影响在Android 8.1和9.0上运行的WhatsApp版本2.19.230和更早版本,但不适用于Android 8.0和更低版本

“在较旧的Android版本中,仍然可以触发双重释放。但是,由于双重释放后系统进行了malloc调用,因此该应用程序崩溃了,直到达到我们可以控制PC寄存器的程度为止。”研究人员写道。

Nhat告诉The Hacker News,他在今年7月下旬向拥有WhatsApp的Facebook报告了该漏洞,并且该公司在9月份发布的WhatsApp版本2.19.244中包含了一个安全补丁。

因此,为了保护自己免受此漏洞的任何攻击,建议您尽快将WhatsApp从Google Play商店更新到最新版本。

除此之外,由于该漏洞存在于开放源代码库中,因此使用相同受影响库的任何其他Android应用也可能也容易受到类似攻击。

受影响的GIF库(称为Android GIF Drawable)的开发人员还发布了1.2.18版修补双重释放漏洞的软件。

iOS版WhatsApp不受此漏洞影响。

翻译自TheHackerNews