Podatność w WhatsApp – można złośliwym gifem przejąć dane ofiary. Dostępny exploit.

Podatność została załatana we wrześniu 2019r. w wersji 2.19.244 WhatsAppa na Androida. Błąd jest klasy double-free i można z jego wykorzystaniem uzyskać RCE (remote code execution) na systemie Android. Całość polega na dostarczeniu odpowiednio spreparowanego pliku .gif do ofiary. Po udanym wykorzystaniu buga można uzyskać dostęp do bazy wiadomości ofiary.

Aby exploit był w pełni uzbrojony musi być połączony z innym bugiem, autor znaleziska podsumowuje to tak:

• Remote code execution: Pairing with an application that has an remote memory information disclosure vulnerability (e.g. browser), the attacker can collect the addresses of zygote libraries and craft a malicious GIF file to send it to the user via WhatsApp (must be as an attachment, not as an image through Gallery Picker). When the user opens the Gallery view in WhatsApp, the GIF file will trigger a remote shell in WhatsApp context.
• Local privilege escalation (from a user app to WhatsApp): A malicious app is installed on the Android device. The app collects addresses of zygote libraries and generates a malicious GIF file that results in code execution in WhatsApp context. This allows the malware app to steal files in WhatsApp sandbox including message database.

Czyli albo najpierw atakujący namierza stosowne adresy w telefonie ofiary za pomocą np. buga w przeglądarce i generuje odpowiedniego .gifa lub ofiara ma zainstalowaną złośliwą aplikację, która pobiera ten sam adres i ponownie generuje gifa.

Exploit działa wg badacza na Androidy 8.1 and 9.0.

Patrząc na odpis podatności, łącząc kilka exploitów można by również przejąć dostęp nad całym telefonem (dostęp root). Łańcuch exploitów wyglądałby następująco:

• Bug umożliwiający poznanie stosownych adresów na telefonie ofiary
• Opisywany Bug w WhatsAppie (RCE)
• Eskalacja uprawnień do root

Łatajcie WhatsAppa (oraz Androida).

–ms