Про це пише видання The Hacker News.
“Минулого місяця WhatsApp непомітно виправив ще одну критичну уразливість в своєму додатку, яка могла дозволити зловмисникам віддалено скомпрометувати цільові пристрої і вкрасти захищені повідомлення чату та файли, що зберігаються в них”, – йдеться в повідомленні.
Уразливість, іменована як CVE-2019-11931, являє собою проблему переповнення буфера стека. Вона з’явилася після того, як попередні версії WhatsApp аналізували метадані в файлах MP4.
Щоб віддалено використовувати уразливість, зловмисникові потрібен тільки номер телефону користувача, куди він відправляє шкідливий файл MP4 через WhatsApp, який в кінцевому підсумку можна запрограмувати для автоматичної установки шкідливого бекдора або шпигунського додатка на скомпрометованому пристрої.
Уразливість зачіпає як споживачів, так і корпоративні додатки WhatsApp для всіх основних платформ, включаючи Google Android, Apple iOS і Microsoft Windows.
За даними компанії Facebook, якій належить WhatsApp, список уразливих версій виглядає так:
- Android версії до 2.19.274
- iOS версії до 2.19.100
- Enterprise Client версії до 2.25.3
- Windows Phone версії до 2.18.368 включно
- Business for Android версії до 2.19.104
- Business for iOS версії до 2.19.100
На даний момент неясно, чи використовувалася ця вразливість, перш ніж Facebook усунув неполадку.
- Раніше експерти Check Point виявили уразливість в процесорах Qualcomm Secure Execution Environment, що дозволяє викрадати захищені дані з Android-пристроїв.