关注我们
转自The Hack News,作者Swati Khandelwal
一张图片胜过千言万语,但一张GIF动图胜过千张图片。
如今,这些短的循环剪辑、动图无处不在——在你的社交媒体上、留言板上、聊天工具上,帮助用户完美地表达他们的情感,让人们开怀大笑,重温精彩时刻。
但是,如果一个看似无害的GIF问候语,比如“早上好”、“生日快乐”或“圣诞快乐”,入侵了你的智能手机呢?
WhatsApp最近修补了其Android应用程序中的一个重要安全漏洞,该漏洞被发现后至少有3个月没有修补,如果被利用,可能会让远程黑客入侵Android设备,窃取文件和聊天消息。
远程代码执行漏洞
这一漏洞被称为CVE-2019-11932,是一个双自由内存损坏的漏洞,实际上并不存在于WhatsApp代码本身,而是存在于WhatsApp使用的一个开源GIF图像解析库中。
账户被黑客入侵
今年5月,越南安全研究人员Pham Hong Nhat发现了这个问题,它成功地导致了远程代码执行攻击,使攻击者能够
在WhatsApp环境下对目标设备执行任意代码,而该应用程序对该设备具有权限。有效载荷是在WhatsApp上下文中执行的。因此,它拥有读取SDCard和访问WhatsApp消息数据库的权限。”
“恶意代码将拥有WhatsApp拥有的所有权限,包括录制音频、访问摄像头、访问文件系统,以及WhatsApp的沙盒存储,其中包括受保护的聊天数据库,等等……”
RCE漏洞是如何工作的?
当用户在向朋友或家人发送任何媒体文件之前打开他们的设备库时,WhatsApp使用上述解析库生成GIF文件预览。
因此,需要注意的是,该漏洞不会通过向受害者发送恶意GIF文件来触发;
相反,当受害者在试图发送任何媒体文件时,自己只是打开WhatsApp Gallery Picker,它就会被执行。
为了利用这个问题,攻击者需要做的就是通过任何在线通信渠道向目标Android用户发送一个精心制作的恶意GIF文件,然后等待用户在WhatsApp中打开图片库。
然而,如果攻击者想通过WhatsApp或Messenger等任何消息平台向受害者发送GIF文件,他们需要将其作为文档文件而不是媒体文件附件发送。
因为这些服务使用的图像压缩会扭曲隐藏在图像中的恶意负载。正如研究人员与黑客新闻共享的一段概念验证视频演示所示,该漏洞也可以被利用来从被黑客攻击的设备远程弹出一个反向shell。
易受攻击的应用程序、设备
这个问题影响了运行在Android 8.1和9.0上的WhatsApp版本2.19.230和更老版本,但不适用于Android 8.0及以下版本。
在较早的安卓版本中,这个攻击仍然可以触发。然而,由于系统在使用double-free之后调用了malloc。
应用程序在达到我们可以控制PC注册的程度之前就崩溃了,”研究人员写道。
Nhat告诉《黑客新闻》(Hacker News),他在今年7月下旬向WhatsApp的所有者Facebook报告了这一漏洞。
该公司在9月发布的WhatsApp 2.19.244版本中加入了一个安全补丁。
因此,为了保护您自己不受围绕此漏洞的任何攻击,建议您尽快将您的WhatsApp从谷歌Play Store更新到最新版本。
除此之外,由于该漏洞存在于一个开源库中,任何其他使用相同受影响库的Android应用程序也有可能受到类似的攻击。
受影响的GIF库的开发者,名为Android GIF Drawable,也发布了1.2.18版本的软件来修补这个双重安全漏洞。
用于iOS的WhatsApp不受此漏洞影响。
精彩在后面
Hi,我是超级盾
更多干货,可移步到,微信公众号:超级盾订阅号!精彩与您不见不散!
超级盾能做到:防得住、用得起、接得快、玩得好、看得见、双向数据加密!
截至到目前,超级盾成功抵御史上最大2.47T黑客DDoS攻击,超级盾具有无限防御DDoS、100%防CC的优势
閱讀更多 超級盾 的文章
