Про це повідомляють фахівці японської компанії Trend Micro.

Уточнюється, що ще в жовтні 2019 року в WhatsApp для Android був виправлений баг, який міг дистанційно виконати довільний код на вразливому пристрої за допомогою звичайного файлу GIF, отримуючи доступ до конфіденційних даних.

Відзначається, що даний баг відносять до класу double-free, він отримав ідентифікатор CVE-2019-11932. Баг дозволяв віддалено виконувати код на тих пристроях, які знаходяться під управлінням Android 8.1 і 9.0. При цьому в попередніх версіях операційної системи баг міг тільки спровокувати відмову в обслуговуванні.

За інформацією фахівців японської компанії, зазначена вразливість, крім WhatsApp, виявилася небезпечною також і для багатьох інших додатків.

За словами експертів, проблема полягає в опенсорсній бібліотеці libpl_droidsonroids_gif.so, що є частиною пакету android-gif-drawable і використовується багатьма додатками для Android під час обробки файлів GIF.

У WhatsApp баг був усунутий на версії 2.19.244, проте в інших додатках вразливість все ще присутня.

За даними дослідників, в одному тільки каталозі Google Play залишаються вразливими більш як 3000 додатків, які використовують libpl_droidsonroids_gif.so. Проблема також може становити загрозу для додатків зі сторонніх каталогів на зразок 1mobile, 9Apps, 91 market, APKPure, Aptoide, 360 Market, PP Assistant, QQ Market і Xiaomi Market.

Фото: Trend Micro

Експерти закликають розробників якнайшвидше  оновити бібліотеку libpl_droidsonroids_gif.so, щоб не наражати на ризик користувачів.