首頁>科技>

轉自The Hack News,作者Swati Khandelwal

一張圖片勝過千言萬語,但一張GIF動圖勝過千張圖片。

現在,這些短的迴圈剪輯、動圖無處不在——在你的社交媒體上、留言板上、聊天工具上,幫助使用者完美地表達他們的情感,讓人們開懷大笑,重溫精彩時刻。

但是,如果一個看似無害的GIF問候語,比如“早上好”、“生日快樂”或“聖誕快樂”,入侵了你的智慧手機呢?

WhatsApp最近修補了其Android應用程式中的一個重要安全漏洞,該漏洞被發現後至少有3個月沒有修補,如果被利用,可能會讓遠端黑客入侵Android裝置,竊取檔案和聊天訊息。

遠端程式碼執行漏洞

這一漏洞被稱為CVE-2019-11932,是一個雙自由記憶體損壞的漏洞,實際上並不存在於WhatsApp程式碼本身,而是存在於WhatsApp使用的一個開源GIF影象解析庫中。

賬戶被黑客入侵

今年5月,越南安全研究人員Pham Hong Nhat發現了這個問題,它成功地導致了遠端程式碼執行攻擊,使攻擊者能夠在WhatsApp環境下對目標裝置執行任意程式碼,而該應用程式對該裝置具有許可權。

有效載荷是在WhatsApp上下文中執行的。因此,它擁有讀取SDCard和訪問WhatsApp訊息資料庫的許可權。”

“惡意程式碼將擁有WhatsApp擁有的所有許可權,包括錄製音訊、訪問攝像頭、訪問檔案系統,以及WhatsApp的沙盒儲存,其中包括受保護的聊天資料庫,等等……”

RCE漏洞是如何工作的?

當用戶在向朋友或家人傳送任何媒體檔案之前開啟他們的裝置庫時,WhatsApp使用上述解析庫生成GIF檔案預覽。

因此,需要注意的是,該漏洞不會通過向受害者傳送惡意GIF檔案來觸發;

相反,當受害者在試圖傳送任何媒體檔案時,自己只是開啟WhatsApp Gallery Picker,它就會被執行。

為了利用這個問題,攻擊者需要做的就是通過任何線上通訊渠道向目標Android使用者傳送一個精心製作的惡意GIF檔案,然後等待使用者在WhatsApp中開啟圖片庫。

然而,如果攻擊者想通過WhatsApp或Messenger等任何訊息平臺向受害者傳送GIF檔案,他們需要將其作為文件檔案而不是媒體檔案附件傳送。

因為這些服務使用的影象壓縮會扭曲隱藏在影象中的惡意負載。正如研究人員與黑客新聞共享的一段概念驗證視訊演示所示,該漏洞也可以被利用來從被黑客攻擊的裝置遠端彈出一個反向shell。

易受攻擊的應用程式、裝置

這個問題影響了執行在Android 8.1和9.0上的WhatsApp版本2.19.230和更老版本,但不適用於Android 8.0及以下版本。

在較早的安卓版本中,這個攻擊仍然可以觸發。然而,由於系統在使用double-free之後呼叫了malloc。

應用程式在達到我們可以控制PC註冊的程度之前就崩潰了,”研究人員寫道。

Nhat告訴《黑客新聞》(Hacker News),他在今年7月下旬向WhatsApp的所有者Facebook報告了這一漏洞。

該公司在9月釋出的WhatsApp 2.19.244版本中加入了一個安全補丁。

因此,為了保護您自己不受圍繞此漏洞的任何攻擊,建議您儘快將您的WhatsApp從谷歌Play Store更新到最新版本。

除此之外,由於該漏洞存在於一個開源庫中,任何其他使用相同受影響庫的Android應用程式也有可能受到類似的攻擊。

受影響的GIF庫的開發者,名為Android GIF Drawable,也釋出了1.2.18版本的軟體來修補這個雙重安全漏洞。

用於iOS的WhatsApp不受此漏洞影響。

宣告:我們尊重原創者版權,除確實無法確認作者外,均會註明作者和來源。轉載文章僅供個人學習研究,同時向原創作者表示感謝,若涉及版權問題,請及時聯絡小編刪除!

精彩在後面

  • 整治雙十一購物亂象,國家再次出手!該跟這些套路說再見了
  • 大資料的誤區,何為真正的大資料