轉自The Hack News，作者Swati Khandelwal

一張圖片勝過千言萬語，但一張GIF動圖勝過千張圖片。

現在，這些短的迴圈剪輯、動圖無處不在——在你的社交媒體上、留言板上、聊天工具上，幫助使用者完美地表達他們的情感，讓人們開懷大笑，重溫精彩時刻。

但是，如果一個看似無害的GIF問候語，比如“早上好”、“生日快樂”或“聖誕快樂”，入侵了你的智慧手機呢?

WhatsApp最近修補了其Android應用程式中的一個重要安全漏洞，該漏洞被發現後至少有3個月沒有修補，如果被利用，可能會讓遠端黑客入侵Android裝置，竊取檔案和聊天訊息。

遠端程式碼執行漏洞

這一漏洞被稱為CVE-2019-11932，是一個雙自由記憶體損壞的漏洞，實際上並不存在於WhatsApp程式碼本身，而是存在於WhatsApp使用的一個開源GIF影象解析庫中。

賬戶被黑客入侵

今年5月，越南安全研究人員Pham Hong Nhat發現了這個問題，它成功地導致了遠端程式碼執行攻擊，使攻擊者能夠在WhatsApp環境下對目標裝置執行任意程式碼，而該應用程式對該裝置具有許可權。

有效載荷是在WhatsApp上下文中執行的。因此，它擁有讀取SDCard和訪問WhatsApp訊息資料庫的許可權。”

“惡意程式碼將擁有WhatsApp擁有的所有許可權，包括錄製音訊、訪問攝像頭、訪問檔案系統，以及WhatsApp的沙盒儲存，其中包括受保護的聊天資料庫，等等……”

RCE漏洞是如何工作的?

當用戶在向朋友或家人傳送任何媒體檔案之前開啟他們的裝置庫時，WhatsApp使用上述解析庫生成GIF檔案預覽。

因此，需要注意的是，該漏洞不會通過向受害者傳送惡意GIF檔案來觸發；

相反，當受害者在試圖傳送任何媒體檔案時，自己只是開啟WhatsApp Gallery Picker，它就會被執行。

為了利用這個問題，攻擊者需要做的就是通過任何線上通訊渠道向目標Android使用者傳送一個精心製作的惡意GIF檔案，然後等待使用者在WhatsApp中開啟圖片庫。

然而，如果攻擊者想通過WhatsApp或Messenger等任何訊息平臺向受害者傳送GIF檔案，他們需要將其作為文件檔案而不是媒體檔案附件傳送。

因為這些服務使用的影象壓縮會扭曲隱藏在影象中的惡意負載。正如研究人員與黑客新聞共享的一段概念驗證視訊演示所示，該漏洞也可以被利用來從被黑客攻擊的裝置遠端彈出一個反向shell。

易受攻擊的應用程式、裝置

這個問題影響了執行在Android 8.1和9.0上的WhatsApp版本2.19.230和更老版本，但不適用於Android 8.0及以下版本。

在較早的安卓版本中，這個攻擊仍然可以觸發。然而，由於系統在使用double-free之後呼叫了malloc。

應用程式在達到我們可以控制PC註冊的程度之前就崩潰了，”研究人員寫道。

Nhat告訴《黑客新聞》(Hacker News)，他在今年7月下旬向WhatsApp的所有者Facebook報告了這一漏洞。

該公司在9月釋出的WhatsApp 2.19.244版本中加入了一個安全補丁。

因此，為了保護您自己不受圍繞此漏洞的任何攻擊，建議您儘快將您的WhatsApp從谷歌Play Store更新到最新版本。

除此之外，由於該漏洞存在於一個開源庫中，任何其他使用相同受影響庫的Android應用程式也有可能受到類似的攻擊。

受影響的GIF庫的開發者，名為Android GIF Drawable，也釋出了1.2.18版本的軟體來修補這個雙重安全漏洞。

用於iOS的WhatsApp不受此漏洞影響。

宣告：我們尊重原創者版權，除確實無法確認作者外，均會註明作者和來源。轉載文章僅供個人學習研究，同時向原創作者表示感謝，若涉及版權問題，請及時聯絡小編刪除！

精彩在後面