Портал The Hacker News сообщает об обнаружении уязвимости в популярном мессенджере WhatsApp. Послав специально созданное сообщение, можно удаленно вызвать отказ приложения.

Брешь нашли два 17-летних независимых ИБ-исследователя из Индии. Они сумели продемонстрировать PoC-эксплойт одному из аналитиков The Hacker News. Они вызвали крэш, отправив сообщение, набранное символами в особой кодировке, общим объемом 2 Кб. До этого было известно, что большие сообщения, более 7 Мб, посланные через WhatsApp, также провоцируют сбой как приложения, так и устройства жертвы. Новый эксплойт позволяет сократить размер сообщения-«убийцы» до 2 Кб.

Кроме перезапуска устройства и приложения пострадавшему приходится удалять всю беседу, так как открытие переписки, содержащей злополучное сообщение, снова вызовет сбой WhatsApp.

Индийцы подтвердили, что уязвимости подвержены большинство версий Android — Jelly Bean, KitKat и младше.

«Точно так же пользователь, состоящий в вашей группе WhatsApp, может отправить специально созданное сообщение, чтобы исключить другие контакты из группы и вообще удалить всю переписку в групповом чате. Чтобы удалить историю переписки с чужого устройства, мне достаточно просто прислать специально созданное сообщение», — заявил один из юных исследователей.

Пока наличие бага подтверждено в версиях WhatsApp 2.11.431 и 2.11.432 на Android. Что касается других ОС, пользователям Windows 8.1 можно расслабиться, а о подверженности iOS данной уязвимости неизвестно.

Из 600 млн пользователей WhatsApp (данные на октябрь 2014 года), по оценке исследователей, около 500 млн могут иметь устройства с багом. WhatsApp, возможно, стоит учесть информацию об этой бреши для обеспечения более высокой степени безопасности коммуникаций между пользователями: в настоящий момент разработчик мессенджера внедряет комплексное шифрование — по заявлению представителей, это самый крупный в истории проект подобного рода.

Категории: Уязвимости