Załatana luka w WhatsApp mogła odsłonić dane użytkowników

Badacze bezpieczeństwa z Check Point opublikowali niedawno informacje na temat luki w zabezpieczeniach WhatsApp, która mogła zostać wykorzystana do uzyskania nielegalnego dostępu do poufnych informacji użytkownika. Problem został już naprawiony przez WhatsApp i nie ma wpływu na obecne wersje aplikacji, ale Check Point opublikował właśnie swój pełny raport na ten temat.

Kwestia, o której mowa, jest skodyfikowana jako CVE-2020-1910 i uzyskała wysoki wynik podstawowy wynoszący 7,8. Jest on opisywany przez badaczy Check Point jako błąd odczytu i zapisu, który wykracza poza granice. Raport zawiera więcej szczegółów na temat tego, w jaki sposób można było wykorzystać lukę.

Błąd kręci się wokół używania narzędzi do filtrowania obrazów WhatsApp. Chociaż kroki i okoliczności związane z możliwą do wykorzystania luką są nieco zawiłe, można je łatwo odtworzyć podczas testów.

Jeśli użytkownik otworzy obraz załącznika wysłany przez złego aktora, zawierający plik, który został w złośliwy sposób spreparowany, na przykład zniekształcony gif, a następnie zastosuje jeden z filtrów obrazu aplikacji i ostatecznie odeśle obraz, może to prowadzić na narażenie danych.

Aplikacja nie sprawdza formatu podczas pracy z oryginalnymi i docelowymi obrazami i może ulec awarii, używając zniekształconych plików graficznych.

Problem został zgłoszony przez Check Point już w listopadzie 2020 roku i już dawno został naprawiony przez WhatsApp, który wspomniał o tym w raporcie doradczym dotyczącym bezpieczeństwa opublikowanym na początku 2021 roku.

Ta luka w zabezpieczeniach podkreśla znaczenie aktualizowania każdej aplikacji na dowolnym urządzeniu do najnowszej wersji. Gdy aplikacja jest tak popularna jak WhatsApp, z miliardami użytkowników na całym świecie, potencjalne zagrożenie dla przestępców nadużywających podobnych problemów i luk zero-day oraz pozyskiwanie ogromnych ilości danych nawet z niewielkiego ułamka bazy użytkowników aplikacji jest znaczne.

Luka CVE-2020-1910 została naprawiona w WhatsApp począwszy od wersji 2.21.2.13 i nowszych.