WhatsApp远程执行漏洞,可窃取安卓手机文件及聊天记录

时间:2021-12-04 18:31:53

一幅图片值得一千个单词,但是一个GIF值得一千幅图片。如今,短循环剪辑,GIF随处可见,在社交媒体上,在留言板上,在聊天中,可以帮助用户完美表达自己的情绪,让人发笑并重拾亮点。

WhatsApp远程执行漏洞,可窃取安卓手机文件及聊天记录

但是,如果早上好,生日快乐或圣诞快乐的消息给人以纯真的GIF问候,会破坏您的智能手机吗?好吧,不再是一个理论上的想法了。WhatsApp最近在其Android应用程序中修复了一个严重的安全漏洞,该漏洞在被发现后至少3个月未修复,并且如果被利用,可能会使远程黑客入侵Android设备并可能窃取文件和聊天记录。

 

WhatsApp远程执行代码漏洞

该漏洞跟踪为CVE-2019-11932,是一个双重释放内存损坏的错误,它实际上并不存在于WhatsApp代码本身中,而是存在于WhatsApp使用的开源GIF图像解析库中。

 

入侵whatsapp帐户

该问题 由东方联盟安全组织研究人员于今年5月发现,成功地导致了远程执行代码攻击,攻击者可以利用该应用程序对设备具有的权限,在WhatsApp的上下文中在目标设备上执行任意代码。

WhatsApp远程执行漏洞,可窃取安卓手机文件及聊天记录

东方联盟研究人员在接受电子邮件采访时告诉《黑客新闻》:“有效载荷是在WhatsApp上下文中执行的。因此,它有权读取SDCard并访问WhatsApp消息数据库。”

 

“恶意代码将具有WhatsApp拥有的所有权限,包括录制音频,访问摄像头,访问文件系统,以及WhatsApp的沙箱存储(包括受保护的聊天数据库等)……”

 

WhatsApp RCE漏洞如何工作?

当用户在将任何媒体文件发送给他们的朋友或家人之前打开设备库时,WhatsApp使用有问题的解析库为GIF文件生成预览。因此,需要注意的是,不会通过向受害者发送恶意GIF文件来触发漏洞。相反,当受害者本身只是在尝试将任何媒体文件发送给某人时,仅打开WhatsApp Gallery Picker时便执行该命令。

WhatsApp远程执行漏洞,可窃取安卓手机文件及聊天记录

要利用此问题,攻击者所需要做的就是通过任何在线通信渠道将特制的恶意GIF文件发送给目标Android用户,然后等待该用户仅在WhatsApp中打开图片库。但是,如果攻击者想通过诸如WhatsApp或Messenger的任何消息传递平台将GIF文件发送给受害者,则他们需要将其作为文档文件而不是媒体文件附件发送,因为这些服务使用的图像压缩会扭曲隐藏在图像中的恶意有效载荷。

 

Web应用防火墙

正如研究人员与《黑客新闻》分享的概念验证视频演示中所示,也可以利用此漏洞从受攻击的设备远程弹出一个反向外壳。

 

易受攻击的应用程序,设备和可用补丁

该问题会影响在Android 8.1和9.0上运行的WhatsApp版本2.19.230和更早版本,但不适用于Android 8.0和更低版本。“在较旧的Android版本中,仍然可以触发双重释放。但是,由于双重释放后系统进行了malloc调用,因此该应用程序崩溃了,直到达到我们可以控制PC寄存器的程度为止。”

除此之外,由于该漏洞存在于开放源代码库中,因此使用相同受影响库的任何其他Android应用也可能也容易受到类似攻击。受影响的GIF库(称为Android GIF Drawable)的开发人员还发布了1.2.18版修补双重释放漏洞的软件。iOS版WhatsApp不受此漏洞影响。(欢迎转载分享)