کشف نقض امنیتی در واتساپ

این حفره‌ امنیتی که توسط یک محقق با نام مستعار «Awakened» کشف شد، به عنوان یک اشکال double-free توصیف و به آن شناسه‌ CVE CVE-۲۰۱۹-۱۱۹۳۲ اختصاص داده شده است.

این نقص، در نسخه‌ ۲.۱۹.۲۳۰ واتس‌اپ در دستگاه‌های دارای اندروید ۸.۱ و ۹.۰ اجازه میدهد کد را از راه دور اجرا نماید  و در نسخه‌های قبلی فقط می‌تواند برای حملات انکار سرویس (DoS) استفاده شود.

آسیب‌پذیری شناسایی‌شده، در یک کتابخانه‌ منبع‌باز به نام «libpl_droidsonroids_gif.so» وجود دارد که توسط واتس‌اپ برای تولید پیش‌نمایش پرونده‌های GIF استفاده می‌شود.

بهره‌برداری از این نقص، شامل ارسال یک GIF مخرب است که می‌تواند در هنگام بازکردن گالری واتس‌اپ توسط کاربر (به‌عنوان مثال، زمانی که کاربر می‌خواهد برای یکی از مخاطبین خود تصویری ارسال کند) به‌طور خودکار باعث آسیب‌پذیری ‌شود.

به‌گفته‌ این محقق، مهاجم نمی‌تواند تنها با ارسال یک GIF ویژه، از این نقص بهره‌برداری کند و کنترل تلفن همراه را در دست بگیرد. لازم است تا مهاجم از محل آسیب پذیری دیگری به کنترل و دسترسی حافظه بپردازد. زیرا یک اشکال double-free نیاز دارد تا یک مکان از حافظه را دوبار فراخوانی کند و این کار می‌تواند منجر به خرابی یک برنامه یا ایجاد یک آسیب‌پذیری شود.

در این حالت، هنگامی که یک کاربر واتس‌اپ، نمایه‌ گالری را برای ارسال پرونده‌ رسانه باز می‌کند، واتس‌اپ آن‌را با استفاده از یک کتابخانه‌ منبع‌باز برای تولید پیش‌نمایش GIF که شامل چندین فریم رمزگذاری‌شده است، تجزیه می‌کند.

این نقص به نرم‌افزار مخرب اجازه می‌دهد تا پرونده‌های موجود در سندباکس واتس‌اپ از جمله پایگاه‌داده‌ پیام را سرقت کند.

Awakend، فیس بوک را از این اشکال مطلع کرد و این شرکت، همزمان وصله‌ رسمی برای برنامه را در نسخه‌ واتس‌اپ ۲.۱۹.۲۴۴ منتشر کرد.

توصیه میشود  واتساپ خود را به آخرین ورژن آپدیت نمایید تا به نرم ازفارهای مخرب آلوده نشوند


مطالب مرتبط :

کلاس آموزش اندروید

دوره آموزشی ios

0 پاسخ

پاسخ دهید

میخواهید به بحث بپیوندید؟
مشارکت رایگان.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *