Badacze szczegółowo opisują załataną lukę w zabezpieczeniach WhatsApp

W niedawnym poście badaczy bezpieczeństwa współpracujących z Check Point zespół ujawnił starą lukę w przestarzałej wersji WhatsApp, która mogła prowadzić do potencjalnego ujawnienia danych osobowych użytkowników WhatsApp.

Omawiany błąd obejmuje dość długi i zawiły łańcuch zdarzeń, który musi mieć miejsce, zanim jakiekolwiek dane użytkownika staną się możliwe do wykorzystania, ale nadal otrzymał ocenę 7,8, co jest uważane za „wysokie” w ramach CVE lub Common Vulnerabilities i Wykorzystuje system.

Aby zły aktor wykorzystał tę lukę, musiałby wysłać specjalnie spreparowany, złośliwie skonstruowany plik obrazu. Ofiara musiałaby następnie przepuścić otrzymany plik załącznika przez jeden z filtrów manipulacji obrazami WhatsApp. Gdy spróbują odesłać wynikowy plik, aplikacja może ulec awarii i doprowadzić do ujawnienia danych.

Luka została szczegółowo wyjaśniona w raporcie Check Point, ale zasadniczo sprowadza się do tego, że WhatsApp nie sprawdza zarówno obrazu źródłowego, jak i docelowego. W przypadkach, gdy używany jest złośliwie sfałszowany obraz źródłowy, może to prowadzić do problemów z odczytem i zapisem wykraczającym poza granice.

WhatsApp ma największą bazę użytkowników wśród aplikacji do przesyłania wiadomości, z około 2 miliardami aktywnych użytkowników miesięcznie. Nawet biorąc pod uwagę złożony i stosunkowo długi łańcuch zdarzeń i warunków, które muszą zostać spełnione, aby exploit uruchomił i ujawnił dane użytkownika, podobne podatności zawsze stanowią problem

Po tym, jak Check Point powiadomił WhatsApp o problemie pod koniec 2020 r., błąd został załatany i został usunięty z aplikacji począwszy od wersji 2.2.1.13.

Podobne raporty pomagają również zwiększyć świadomość znaczenia aktualizacji każdej aplikacji na każdym posiadanym urządzeniu tak szybko, jak to możliwe po nowej łatce.

September 3, 2021
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.