WhatsApp on ollut erittäin vakavaa haavoittuvuuksia viime vuosina. Yksi heistä, vakavin, salli pääsyn käyttäjän keskusteluihin ja kuviin vain soittamalla vastaamattoman puhelun sovelluksen kautta. Nyt toinen haavoittuvuus on sallinut hyökkääjät saada henkilötietoja .
Asiasta kerrottiin tänään tarkemmin Tarkista pistetutkimus , joka löysi WhatsAppissa haavoittuvuuden, jota on melko vaikea hyödyntää. Tätä varten käyttäjän on oltava aktiivisesti vuorovaikutuksessa. Vika vaikuttaa WhatsApp -kuvasuodatin, joka aktivoitiin, kun käyttäjä avaa liitetyn kuvan suodattimien käyttöön. Tätä kuvaa voidaan muuttaa sisältämään haitallista koodia. Jos käyttäjä muokkasi valokuvaa, se voi aiheuttaa jumittumisen sovelluksessa ja sallia pääsyn muistiin.
Yksinkertainen GIF WhatsAppiin ripustettavaksi
Tutkijat törmäsivät haavoittuvuuteen testatessaan kuvamuotojen, kuten BMP, ICO, GIF, JPEG ja PNG . Muutokset tehdään näppäimellä AFL -sumutin , joka muokkaa tiedostoja siten, että ohjelma voi jäädä suorittamatta ja tuottaa odottamattomia tuloksia. Näissä kaatumisissa voidaan löytää uusi haavoittuvuus.
Siksi he tekivät testejä sovelluksen eri osissa ja päättivät testata kuvasuodattimia. Tässä toiminnossa kuvien pikselit muuttuvat, kun käytämme suodatinta, kuten sumennusta, yksityiskohtien lisäämistä, värin vaihtamista jne. Tämä tekee niistä ihanteellisia ehdokkaita sovellus jumittuu , koska tiedostoon on tehtävä monia laskelmia ja muutoksia, ja jos sovellus löytää jotain odottamatonta, se voi kaatua. Tässä tapauksessa vaihdetaan välillä erilaisia suodattimia päällä muokatut GIF -tiedostot WhatsAppissa aiheuttivat WhatsAppin kaatumisen.
Tarkasteltaessa kaatumisia he havaitsivat muistin vioittumishaavoittuvuuden. Ennen kuin jatkoivat tutkintaa, he ilmoittivat asiasta WhatsAppille ja antoivat sille koodin CVE-2020-1910 . Vika on osassa WhatsApp -koodia, jossa sovellus odottaa löytävänsä jokaisen pikselin, joka on tallennettu 4 tavuun. Tutkijat tallensivat yhden pikselin tavua kohden, jolloin sovellus kaatui, kun se yritti lukea kartoittamattomalta muistialueelta.
Tämän avulla oli mahdollista päästä sovelluksessa olevat arkaluonteiset tiedot, jotka on tallennettu muistiin . Tätä varten laitteelle on oltava etä- tai fyysinen pääsy, mitä esimerkiksi FBI voi tehdä terroristeilta tai vaarallisilta ihmisiltä hankituilla matkapuhelimilla.
Tarkista pistetutkimus otti yhteyttä WhatsAppiin Marraskuussa 10, 2020 ilmoittaa heille haavoittuvuudesta, ja yritys korjasi sen 2.21.1.13. tammikuuta julkaistussa versiossa 21. Siksi, jos sinulla on kyseinen tai uudempi versio, olet tällä hetkellä suojattu haavoittuvuutta vastaan. WhatsApp väittää, ettei se ole havainnut haavoittuvuuden käyttöä. Yhtiö väittää, että sovellus on edelleen täysin suojattu ja että WhatsAppin päästä päähän -salaus ei ole vaikuttanut eikä heillä ole todisteita siitä, että joku olisi käyttänyt tätä haavoittuvuutta.
EU uhkaa WhatsAppia 225 miljoonalla eurolla
Tänään Euroopan unioni on sakottanut Facebook 225 miljoonaa euroa ei kertonut Euroopan asukkaille, miten se kerää heidän tietonsa ja mitä se tekee heidän kanssaan WhatsAppissa GDPR: n rikkominen vuonna 2018 . Sakko on 0.8% Facebookin voitosta vuonna 2020, ja se on toiseksi korkein GDPR: n mukaan määrätty Luxemburgissa Amazonille 746 miljoonalla eurolla määrätyn jälkeen.
