Computer Security Исправленная уязвимость WhatsApp могла открыть доступ к...

Исправленная уязвимость WhatsApp могла открыть доступ к данным пользователей

Исследователи безопасности из Check Point недавно опубликовали информацию об уязвимости, существующей в WhatsApp, которая могла быть использована для получения незаконного доступа к конфиденциальной информации пользователя. С тех пор проблема была исправлена WhatsApp и не затрагивает текущие версии приложения, но Check Point только что опубликовала свой полный отчет по ней.

Рассматриваемая проблема кодируется как CVE-2020-1910, и ей присвоен высокий базовый балл 7,8. Исследователи Check Point описывают ее как ошибку чтения-записи за пределами допустимого диапазона. В отчете содержится более подробная информация о том, как именно могла быть использована уязвимость.

Ошибка связана с использованием инструментов фильтрации изображений WhatsApp. Хотя шаги и обстоятельства, связанные с эксплуатируемой уязвимостью, немного запутаны, их можно легко воспроизвести при тестировании.

Если пользователь откроет вложенное изображение, отправленное злоумышленником, содержащее файл, который был подделан злонамеренным образом, например искаженный gif, затем применил один из фильтров изображения приложения и, наконец, отправил изображение обратно, это могло привести к к раскрытию данных.

Приложение не выполняет проверку формата при работе с исходными и конечными изображениями и может привести к сбою из-за использования файлов искаженных изображений.

Об этой проблеме сообщила Check Point еще в ноябре 2020 года, и WhatsApp уже давно исправил ее, упомянув ее в консультативном отчете компании по безопасности, опубликованном в начале 2021 года.

Эта уязвимость подчеркивает важность того, чтобы каждое приложение, которое вы храните на любом вашем устройстве, было обновлено до последней версии. Когда приложение так же популярно, как WhatsApp, с его миллиардами пользователей по всему миру, вероятность того, что преступники будут злоупотреблять аналогичными проблемами и уязвимостями нулевого дня и собирать огромные объемы данных даже из крошечной части пользовательской базы приложения, является значительной.

Уязвимость CVE-2020-1910 исправлена в WhatsApp, начиная с версии 2.21.2.13 и выше.

Загрузка...