Computer Security Patchad WhatsApp -sårbarhet kan ha exponerad användardata

Patchad WhatsApp -sårbarhet kan ha exponerad användardata

Säkerhetsforskare med Check Point släppte nyligen information om en sårbarhet som fanns i WhatsApp som kunde ha utnyttjats för att få olaglig åtkomst till känslig användarinformation. Frågan har sedan uppdaterats av WhatsApp och påverkar inte nuvarande versioner av programmet, men Check Point publicerade sin fullständiga rapport om det just nu.

Frågan i fråga är kodad som CVE-2020-1910 och har fått en hög baspoäng på 7,8. Det beskrivs av Check Point-forskare som en out-of-bounds-läs-skrivbugg. Rapporten ger mer information om hur exakt sårbarheten kunde ha utnyttjats.

Buggen kretsar kring att använda WhatsApp bildfilterverktyg. Även om stegen och omständigheterna kring den exploaterbara sårbarheten är lite invecklade, kan de enkelt återges i tester.

Om en användare skulle öppna en bifogad bild som skickats av en dålig skådespelare, som innehåller en fil som har tagits fram på ett skadligt sätt, till exempel en missbildad gif, sedan applicerat ett av programmets bildfilter och slutligen skickat tillbaka bilden, kan detta leda till dataexponering.

Programmet gör inte formatkontroll när du arbetar med original- och målbilder och kan luras till att krascha genom att använda felaktiga bildfiler.

Problemet rapporterades av Check Point redan i november 2020 och har sedan länge lappats av WhatsApp som nämnde det i företagets säkerhetsrapport som publicerades i början av 2021.

Denna sårbarhet framhäver vikten av att hålla varje enskild applikation du behåller på vilken enhet som helst som du äger uppdaterad till den senaste versionen. När en app är lika populär som WhatsApp, med sina miljarder användare över hela världen, är möjligheten för kriminella att missbruka liknande problem och nolldagars sårbarheter och skörda enorma mängder data även från en liten bråkdel av applikationens användarbas stor.

Sårbarhet CVE-2020-1910 har åtgärdats i WhatsApp från och med version 2.21.2.13 och senare.

Läser in...