Um bug sem o dobro pode permitir que um invasor alcance a execução remota de código; os usuários são encorajados a atualizar para uma versão corrigida do aplicativo de mensagens.
Um pesquisador de segurança identificou uma falha na popular plataforma de mensagens do WhatsApp em dispositivos Android, o que poderia permitir que os atacantes iniciassem ataques de elevação de privilégios e execução remota de código (RCE) às vítimas.
Explorar a falha - descrita em um post de quarta-feira no GitHub por um “tecnólogo e um entusiasta da segurança da informação” com sede em Cingapura chamado Awakened - é um assunto bastante complicado. Um ataque envolve um mau ator enviando um arquivo GIF malicioso para uma vítima por "qualquer canal", seja um email ou uma mensagem direta no WhatsApp. Depois que uma vítima faz o download do arquivo GIF em seu dispositivo, a segunda etapa acontece quando ele abre a Galeria do WhatsApp para enviar um arquivo de mídia para outro usuário do WhatsApp (a vítima não precisa realmente enviar nada, basta abrir o WhatsApp Galeria).
É quando o ataque é desencadeado, de acordo com o Awakened. "Como o WhatsApp mostra pré-visualizações de todas as mídias (incluindo o arquivo GIF recebido), ele aciona o bug duplo e nossa exploração do RCE", escreveu o pesquisador.
A exploração funciona no Android 8.1 e 9.0 até o WhatsApp versão 2.19.230, mas não funciona no Android 8.0 e abaixo, embora o bug ainda possa ser acionado nessas versões, de acordo com o Awakened.
O pesquisador informou o Facebook sobre o bug e a empresa lançou um patch oficial para o aplicativo na versão 2.19.244 do WhatsApp, de acordo com o Awakened. O pesquisador aconselhou os usuários a atualizar para esta versão para "permanecerem protegidos contra esse bug".
A falha Um erro de liberação dupla (CVE-2019-11932) depende da chamada para o mesmo local de memória duas vezes, o que pode travar um aplicativo ou abrir uma vulnerabilidade. Nesse caso, quando um usuário do WhatsApp abre a visualização da Galeria para enviar um arquivo de mídia, o WhatsApp analisa-o com uma biblioteca de código-fonte aberto nativa chamada libpl_droidsonroids_gif.so para gerar a visualização do arquivo GIF, que contém vários quadros codificados, de acordo com Awakened.
"Para armazenar os quadros decodificados, é usado um buffer com o nome rasterBits", escreveu o pesquisador. “Se todos os quadros tiverem o mesmo tamanho, o rasterBits será reutilizado para armazenar os quadros decodificados sem realocação.” No entanto, se uma das três condições for atendida, o rasterBits poderá ser realocado, o que pode desencadear um evento que permita ao invasor explorar a vulnerabilidade, de acordo com o Awakened.Uma demonstração em vídeo também está disponível online, mostrando como o ataque funciona.
Uma vez explorados, existem dois vetores de ataque que os atacantes podem aproveitar, de acordo com o Awakened. A primeira é a escalação de privilégios locais, na qual um aplicativo mal-intencionado é instalado no dispositivo que coleta endereços das bibliotecas zygote (zygote é o processo de modelo para cada aplicativo e serviço iniciado no dispositivo) e gera um arquivo GIF mal-intencionado que resulta na execução do código no contexto do WhatsApp. "Isso permite que o aplicativo de malware roube arquivos na caixa de areia do WhatsApp, incluindo o banco de dados de mensagens", escreveu o pesquisador.
A segunda opção é o RCE acima mencionado, no qual um invasor emparelha com um aplicativo que possui uma vulnerabilidade de divulgação de informações de memória remota para coletar os endereços das bibliotecas zigoto e criar um arquivo GIF malicioso. Isso então pode ser enviado ao usuário via WhatsApp como um anexo, de acordo com a publicação. "Assim que o usuário abrir a visualização da Galeria no WhatsApp ... o arquivo GIF acionará um shell remoto no contexto do WhatsApp", escreveu o pesquisador.
A falha é a mais recente de uma série de vulnerabilidades encontradas nos últimos meses no aplicativo de mensagens usado diariamente por 300 milhões de pessoas em todo o mundo. Em maio, os pesquisadores identificaram uma falha de dia zero que poderia permitir que invasores injetassem spyware nas máquinas dos usuários. Então, em julho, foi encontrada uma falha na codificação do desenvolvedor que permite que os cibercriminosos interceptem arquivos de mídia enviados na plataforma Android. Fonte: ThreatPost
Nenhum comentário:
Postar um comentário