<
>

恶意GIF利用Android中的Whatsapp漏洞

WhatsApp有一个利用恶意GIFS来破坏用户聊天会话,文件和消息的漏洞。该安全漏洞称为CVE-2019-11932,是适用于Android的WhatsApp中所有低于2.19.244的版本中存在的双重免费漏洞。
 
该漏洞是由技术和信息安全爱好者Awakened发现的。您可以阅读有关其发现的更多信息 这里。唤醒通知了该漏洞的Facebook,现在已对其进行了修补。
 
根据Awakened的说法,GIF装有恶意软件,可用于攻击WhatsApp用户。攻击者将GIF发送给一个毫不怀疑的用户,该用户一旦打开GIF就会触发攻击。然后,网络罪犯将可以访问您设备上的WhatsApp消息,文件,照片,视频和更多内容。
 
Synopsys与Cyber​​Security Asean进行了交流,以分享他们的观点并解释如何发生此类攻击。根据 Synopsys软件完整性小组的高级安全策略师Jonathan Knudsen 漏洞表明软件如何依赖组件的复杂交互。
 
该漏洞源自图像处理组件,该组件取决于内存分配器中的异常行为。 “尽管这个故事是关于WhatsApp的,但其他应用程序很容易受到这种内存分配器漏洞的影响”,Jonathan声称。作为安全软件开发生命周期的一部分,跟踪软件供应链将使组织能够了解软件的相互依赖性,并将风险降低到最低。
 
他解释说,该漏洞还显示出在出现意外或格式错误的输入时,软件可能会如何行为。当要求分配0字节的内存时,内存分配器显示出特殊的可利用行为。在内存分配器的开发过程中进行的负面测试和模糊测试可能会浮出水面,从而使它可以在发布前得到修复。

Jonathan指出,这种情况凸显了准确描述软件漏洞的难度。 “这不是一个攻击者可以发送特殊GIF并接管您电话的漏洞。攻击者首先需要利用手机上的另一个漏洞来深入了解内存布局。只有这样,才能发送精心制作的GIF,这会导致系统受到损害,即使那样,您也需要在触发漏洞利用之前打开WhatsApp画廊。”

从用户的角度来看,乔纳森指出,最重要的收获是对更新保持警惕。漏洞无时无刻不在发生,因此用户可以做的最好的事情就是使软件保持最新状态,以便解决已知的漏洞。

“ WhatsApp中的此漏洞不容易利用-不像旧的《死亡之屏》或更新的错误,错误的消息会导致iPhone出现故障。要利用此漏洞,攻击者必须在目标设备上拥有另一个节点。只有这样,攻击者才能提供可以控制的精心制作的GIF。”

乔纳森补充说,一旦攻击者获得了目标手机的控制权,他或她将能够执行受害者通常在手机上能做的几乎所有事情。

“此漏洞最令人担忧的方面是,它实际上是软件组件(WhatsApp使用的媒体库)中的漏洞。还有多少其他应用程序使用同一库?还有多少其他应用可能会受到攻击?”

Synopsys Software Integrity Group的首席安全策略师Tim Mackey表示,尽管Facebook已发布该漏洞的补丁程序, 对于更广泛的Android社区仍然存在风险。当Facebook修复WhatsApp中的漏洞时,他们还将其更改贡献到了开源库android-gif-drawable中。这个流行的库用于在Android设备上渲染GIF图像,并被嵌入许多其他库和框架中。

Tim解释说,开发团队应验证其材料清单中是否有1.2.18之前的版本供其应用,并尽早进行更新。这就是为什么映射到安全信息的最新且准确的物料清单是任何软件供应商的安全管理的关键部分的一个示例。

分享我们的想法

0 Comment 登录 要么 寄存器 发表评论