Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

WhatsApp łata krytyczne podatności. Jedną rozmową lub filmikiem można było zhackować ~telefon.

27 września 2022, 17:05 | W biegu | 1 komentarz

Podatności zostały załatane niedawno:

CVE-2022-27492

An integer overflow in WhatsApp for Android prior to v2.22.16.12, Business for Android prior to v2.22.16.12, iOS prior to v2.22.16.12, Business for iOS prior to v2.22.16.12 could result in remote code execution in an established video call.

CVE-2022-27492

An integer underflow in WhatsApp for Android prior to v2.22.16.2, WhatsApp for iOS v2.22.15.9 could have caused remote code execution when receiving a crafted video file.

W tłumaczeniu na polski: można było wykonać kod na telefonie poprzez wykonanie odpowiednio spreparowanej rozmowy do ofiary; podobny efekt był możliwy do osiągnięcia poprzez przesłanie ofierze odpowiednio spreparowanego filmiku (ofiara musiała go odtworzyć).

Nie ma na razie mowy o tym kto ewentualnie exploitował luki, ale pierwsza z luk – przynajmniej na ogólnym poziomie przypomina jedną z podatności, która była exploitowana przez Pegasusa:

Whatsapp has recently patched a severe vulnerability that was being exploited by attackers to remotely install surveillance malware on a few „selected” smartphones by simply calling the targeted phone numbers over Whatsapp audio call.

Wracając do głównego wątku, już samo wykorzystanie tych luk daje sporo możliwości (atakujący działa z uprawnieniami appki WhatsApp), a w połączeniu z względnie częstymi podatnościami klasy privilege escalation (czy to na Androidzie czy iOS) mamy już pełen dostęp do telefonu.

W każdym razie łatajcie się minimalnie do wersji wskazanych wyżej, a kilka technicznych słów więcej o temacie znajdziecie np. tutaj.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Patryk2k2

    Czytając tego typu artykuły zastanawiam się ile jest jeszcze nieodkrytych luk, prawdopodobnie istnieją takie które pozwalają dowolnemu użytkownikowi WhatsAppa a pewnie i innych mniej podatnych komunikatorów takich jak Messenger ba nawet dowolnemu użytkownikowi smartfona podłączonemu do sieci bądź internetu wykraść dowolną informacje bądź uruchomić dowolny kod na jego urządzeniu. Pytanie tylko ile takich luk jest znanych i wykorzystywanych przez różne służby bądź grupy hakerskie, a ile jeszcze nie zostało odkrytych bądź nigdy nie zostanie. Chociaż służby, zwłaszcza służby mocarstw światowych na pewno nie tyle korzystają z odkrytych luk co starają się implementować własne ażeby je w przyszłości wykorzystać :)

    Odpowiedz

Odpowiedz