Про це пише видання The Hacker News.

“Минулого місяця WhatsApp непомітно виправив ще одну критичну уразливість в своєму додатку, яка могла дозволити зловмисникам віддалено скомпрометувати цільові пристрої і вкрасти захищені повідомлення чату та файли, що зберігаються в них”, – йдеться в повідомленні.

Уразливість, іменована як CVE-2019-11931, являє собою проблему переповнення буфера стека. Вона з’явилася після того, як попередні версії WhatsApp аналізували метадані в файлах MP4.

Щоб віддалено використовувати уразливість, зловмисникові потрібен тільки номер телефону користувача, куди він відправляє шкідливий файл MP4 через WhatsApp, який в кінцевому підсумку можна запрограмувати для автоматичної установки шкідливого бекдора або шпигунського додатка на скомпрометованому пристрої.

Уразливість зачіпає як споживачів, так і корпоративні додатки WhatsApp для всіх основних платформ, включаючи Google Android, Apple iOS і Microsoft Windows.

За даними компанії Facebook, якій належить WhatsApp, список уразливих версій виглядає так:

  • Android версії до 2.19.274
  • iOS версії до 2.19.100
  • Enterprise Client версії до 2.25.3
  • Windows Phone версії до 2.18.368 включно
  • Business for Android версії до 2.19.104
  • Business for iOS версії до 2.19.100

На даний момент неясно, чи використовувалася ця вразливість, перш ніж Facebook усунув неполадку.

  • Раніше експерти Check Point виявили уразливість в процесорах Qualcomm Secure Execution Environment, що дозволяє викрадати захищені дані з Android-пристроїв.