WhatsApp łata krytyczne podatności. Jedną rozmową lub filmikiem można było zhackować ~telefon.

Podatności zostały załatane niedawno:

CVE-2022-27492

An integer overflow in WhatsApp for Android prior to v2.22.16.12, Business for Android prior to v2.22.16.12, iOS prior to v2.22.16.12, Business for iOS prior to v2.22.16.12 could result in remote code execution in an established video call.

CVE-2022-27492

An integer underflow in WhatsApp for Android prior to v2.22.16.2, WhatsApp for iOS v2.22.15.9 could have caused remote code execution when receiving a crafted video file.

W tłumaczeniu na polski: można było wykonać kod na telefonie poprzez wykonanie odpowiednio spreparowanej rozmowy do ofiary; podobny efekt był możliwy do osiągnięcia poprzez przesłanie ofierze odpowiednio spreparowanego filmiku (ofiara musiała go odtworzyć).

Nie ma na razie mowy o tym kto ewentualnie exploitował luki, ale pierwsza z luk – przynajmniej na ogólnym poziomie przypomina jedną z podatności, która była exploitowana przez Pegasusa:

Whatsapp has recently patched a severe vulnerability that was being exploited by attackers to remotely install surveillance malware on a few „selected” smartphones by simply calling the targeted phone numbers over Whatsapp audio call.

Wracając do głównego wątku, już samo wykorzystanie tych luk daje sporo możliwości (atakujący działa z uprawnieniami appki WhatsApp), a w połączeniu z względnie częstymi podatnościami klasy privilege escalation (czy to na Androidzie czy iOS) mamy już pełen dostęp do telefonu.

W każdym razie łatajcie się minimalnie do wersji wskazanych wyżej, a kilka technicznych słów więcej o temacie znajdziecie np. tutaj.

~Michał Sajdak