关注我们

转自The Hack News，作者Swati Khandelwal

一张图片胜过千言万语，但一张GIF动图胜过千张图片。

如今，这些短的循环剪辑、动图无处不在——在你的社交媒体上、留言板上、聊天工具上，帮助用户完美地表达他们的情感，让人们开怀大笑，重温精彩时刻。

但是，如果一个看似无害的GIF问候语，比如“早上好”、“生日快乐”或“圣诞快乐”，入侵了你的智能手机呢?

WhatsApp最近修补了其Android应用程序中的一个重要安全漏洞，该漏洞被发现后至少有3个月没有修补，如果被利用，可能会让远程黑客入侵Android设备，窃取文件和聊天消息。

远程代码执行漏洞

这一漏洞被称为CVE-2019-11932，是一个双自由内存损坏的漏洞，实际上并不存在于WhatsApp代码本身，而是存在于WhatsApp使用的一个开源GIF图像解析库中。

账户被黑客入侵

今年5月，越南安全研究人员Pham Hong Nhat发现了这个问题，它成功地导致了远程代码执行攻击，使攻击者能够在WhatsApp环境下对目标设备执行任意代码，而该应用程序对该设备具有权限。

有效载荷是在WhatsApp上下文中执行的。因此，它拥有读取SDCard和访问WhatsApp消息数据库的权限。”

“恶意代码将拥有WhatsApp拥有的所有权限，包括录制音频、访问摄像头、访问文件系统，以及WhatsApp的沙盒存储，其中包括受保护的聊天数据库，等等……”

RCE漏洞是如何工作的?

当用户在向朋友或家人发送任何媒体文件之前打开他们的设备库时，WhatsApp使用上述解析库生成GIF文件预览。

因此，需要注意的是，该漏洞不会通过向受害者发送恶意GIF文件来触发；

相反，当受害者在试图发送任何媒体文件时，自己只是打开WhatsApp Gallery Picker，它就会被执行。

为了利用这个问题，攻击者需要做的就是通过任何在线通信渠道向目标Android用户发送一个精心制作的恶意GIF文件，然后等待用户在WhatsApp中打开图片库。

然而，如果攻击者想通过WhatsApp或Messenger等任何消息平台向受害者发送GIF文件，他们需要将其作为文档文件而不是媒体文件附件发送。

因为这些服务使用的图像压缩会扭曲隐藏在图像中的恶意负载。正如研究人员与黑客新闻共享的一段概念验证视频演示所示，该漏洞也可以被利用来从被黑客攻击的设备远程弹出一个反向shell。

易受攻击的应用程序、设备

这个问题影响了运行在Android 8.1和9.0上的WhatsApp版本2.19.230和更老版本，但不适用于Android 8.0及以下版本。

在较早的安卓版本中，这个攻击仍然可以触发。然而，由于系统在使用double-free之后调用了malloc。

应用程序在达到我们可以控制PC注册的程度之前就崩溃了，”研究人员写道。

Nhat告诉《黑客新闻》(Hacker News)，他在今年7月下旬向WhatsApp的所有者Facebook报告了这一漏洞。

该公司在9月发布的WhatsApp 2.19.244版本中加入了一个安全补丁。

因此，为了保护您自己不受围绕此漏洞的任何攻击，建议您尽快将您的WhatsApp从谷歌Play Store更新到最新版本。

除此之外，由于该漏洞存在于一个开源库中，任何其他使用相同受影响库的Android应用程序也有可能受到类似的攻击。

受影响的GIF库的开发者，名为Android GIF Drawable，也发布了1.2.18版本的软件来修补这个双重安全漏洞。

用于iOS的WhatsApp不受此漏洞影响。

声明：我们尊重原创者版权，除确实无法确认作者外，均会注明作者和来源。转载文章仅供个人学习研究，同时向原创作者表示感谢，若涉及版权问题，请及时联系小编删除！

精彩在后面

Hi，我是超级盾

更多干货，可移步到，微信公众号：超级盾订阅号！精彩与您不见不散！

超级盾能做到：防得住、用得起、接得快、玩得好、看得见、双向数据加密！

截至到目前，超级盾成功抵御史上最大2.47T黑客DDoS攻击，超级盾具有无限防御DDoS、100%防CC的优势