В мессенджере WhatsApp исправили ошибку, которая давала злоумышленникам возможность вызвать сбой приложения при помощи вредоносного видеозвонка. Уязвимость затрагивала программы для Android и iOS, но отсутствовала в веб-клиенте. Об этом сообщила в своем отчете Натали Сильванович (Natalie Silvanovich) из Google Project Zero.

По словам эксперта, уязвимость связана с повреждением динамической области памяти (кучи). Оно происходит, когда приложение принимает вредоносный RTP‑пакет.

Протокол RTP (Real-time Transport Protocol) предназначен для доставки аудио и видео через интернет в режиме реального времени. Он отвечает за присвоение пакетам данных временных меток, благодаря которым программа на стороне получателя может восстановить, в какой последовательности и с какими задержками их нужно воспроизводить. Чтобы вызвать сбой в приложении, злоумышленнику достаточно специальным образом подготовить WhatsApp на своем устройстве и позвонить жертве.

Вместе с описанием бага Сильванович опубликовала PoC и шаги, которые следует предпринять для проведения атаки. О том, могут ли злоумышленники при помощи этого способа удаленно выполнить код на устройстве, исследовательница в своем отчете не написала. Однако другой специалист Google Project Zero, Тэвис Орманди (Tavis Ormandy), у себя в Twitter отметил, что эта ошибка позволяет «полностью скомпрометировать» мессенджер.

Уязвимость представляет угрозу только для пользователей Android и iOS, так как веб-клиент WhatsApp осуществляет видеозвонки с помощью технологии WebRTC (Web Real-Time Communications).

Патч для Android-приложения производитель выпустил с обновлением, опубликованным 28 сентября. Программу для iOS залатали 3 октября.

В интервью изданию ZDNet представитель компании отметил, что специалисты не нашли никаких свидетельств применения подобной атаки на практике, и посоветовал пользователям как можно скорее установить обновления.

Ранее WhatsApp привлек внимание СМИ в связи с историей с угоном аккаунтов. Злоумышленники воспользовались для этого голосовой почтой: получить коды подтверждения для входа в учетную запись можно при помощи звуковых сообщений. При этом сам сервис защищен примитивными паролями вроде 1234.

Категории: Уязвимости