Uma imagem vale mais que mil palavras, mas um GIF vale mais que mil imagens.
Hoje, os clipes curtos e os GIFs estão por toda parte - nas mídias sociais, nos quadros de mensagens, nos chats, ajudando os usuários a expressar perfeitamente suas emoções, fazendo as pessoas rirem e revivendo um destaque.
Mas e se uma saudação GIF de aparência inocente com a mensagem Bom dia, Feliz aniversário ou Feliz Natal invadir seu smartphone?
Bem, não é mais uma ideia teórica.
Hoje, os clipes curtos e os GIFs estão por toda parte - nas mídias sociais, nos quadros de mensagens, nos chats, ajudando os usuários a expressar perfeitamente suas emoções, fazendo as pessoas rirem e revivendo um destaque.
Mas e se uma saudação GIF de aparência inocente com a mensagem Bom dia, Feliz aniversário ou Feliz Natal invadir seu smartphone?
Bem, não é mais uma ideia teórica.
Recentemente, o WhatsApp corrigiu uma vulnerabilidade crítica de segurança em seu aplicativo para Android, que permaneceu sem patch por pelo menos três meses após ser descoberta e, se explorada, poderia permitir que hackers remotos comprometessem dispositivos Android e potencialmente roubassem arquivos e mensagens de bate-papo.
Vulnerabilidade de execução remota de código do WhatsApp
A vulnerabilidade, rastreada como CVE-2019-11932 , é um bug de corrupção de memória com dupla liberação que não reside no código do WhatsApp, mas em uma biblioteca de análise de imagens GIF de código aberto usada pelo WhatsApp.
Descoberto pelo pesquisador de segurança vietnamita Pham Hong Nhat em maio deste ano, o problema leva a ataques de execução remota de código, permitindo que os invasores executem código arbitrário em dispositivos segmentados no contexto do WhatsApp com as permissões que o aplicativo possui no dispositivo.
"A carga útil é executada no contexto do WhatsApp. Portanto, ele tem permissão para ler o SDCard e acessar o banco de dados de mensagens do WhatsApp", disse o pesquisador em uma entrevista por e-mail.
"O código malicioso terá todas as permissões que o WhatsApp possui, incluindo gravação de áudio, acesso à câmera, acesso ao sistema de arquivos e armazenamento em sandbox do WhatsApp, que inclui banco de dados de bate-papo protegido e assim por diante ..."
Como funciona a vulnerabilidade do WhatsApp RCE?
O WhatsApp usa a biblioteca de análise em questão para gerar uma visualização para arquivos GIF quando os usuários abrem a galeria de dispositivos antes de enviar qualquer arquivo de mídia para seus amigos ou familiares.
Assim, a ser observada, a vulnerabilidade não é acionada enviando um arquivo GIF malicioso para uma vítima; em vez disso, é executado quando a própria vítima simplesmente abre o WhatsApp Gallery Picker enquanto tenta enviar qualquer arquivo de mídia para alguém.
Para explorar esse problema, tudo o que um invasor precisa fazer é enviar um arquivo GIF malicioso especialmente criado para um usuário Android direcionado por qualquer canal de comunicação on-line e aguardar que o usuário abra a galeria de imagens no WhatsApp.
No entanto, se os invasores desejam enviar o arquivo GIF às vítimas por meio de qualquer plataforma de mensagens como o WhatsApp ou o Messenger, eles precisam enviá-lo como um arquivo de documento em vez de anexos de arquivo de mídia, porque a compactação de imagem usada por esses serviços distorce a carga maliciosa oculta nas imagens .
Como mostrado em uma demonstração em vídeo de prova de conceito que o pesquisador compartilhou com , a vulnerabilidade também pode ser explorada para simplesmente abrir um shell reverso remotamente a partir do dispositivo invadido.
Aplicativos vulneráveis, dispositivos e patches disponíveis
O problema afeta as versões 2.19.230 do WhatsApp e versões anteriores em execução no Android 8.1 e 9.0, mas não funciona para o Android 8.0 e versões posteriores.
"Nas versões mais antigas do Android, a liberação dupla ainda poderia ser acionada. No entanto, devido às chamadas malloc do sistema após a liberação dupla, o aplicativo falha apenas antes de chegar ao ponto em que poderíamos controlar o registro do PC", pesquisador escreve.
Nhat disse ao Hacker News que relatou a vulnerabilidade ao Facebook, dono do WhatsApp, no final de julho deste ano, e a empresa incluiu um patch de segurança na versão 2.19.244 do WhatsApp, lançada em setembro.
Portanto, para se proteger contra qualquer exploração que envolva essa vulnerabilidade, é recomendável atualizar seu WhatsApp para a versão mais recente da Google Play Store o mais rápido possível.
Além disso, como a falha reside em uma biblioteca de código aberto, também é possível que qualquer outro aplicativo Android que use a mesma biblioteca afetada também esteja vulnerável a ataques semelhantes.
O desenvolvedor da biblioteca GIF afetada, chamado Android GIF Drawable, também lançou a versão 1.2.18do software para corrigir a vulnerabilidade de liberação dupla.
O WhatsApp para iOS não é afetado por esta vulnerabilidade.
