Обнаружена уязвимость в популярном мессенджере WhatsApp. Послав специально созданное сообщение, можно удаленно вызвать отказ приложения.
Брешь нашли два 17-летних независимых ИБ-исследователя из Индии. Они сумели продемонстрировать PoC-эксплойт одному из аналитиков. Они вызвали крэш, отправив сообщение, набранное символами в особой кодировке, общим объемом 2 Кб.
До этого было известно, что большие сообщения, более 7 Мб, посланные через WhatsApp, также провоцируют сбой как приложения, так и устройства жертвы. Новый эксплойт позволяет сократить размер сообщения-«убийцы» до 2 Кб. Кроме перезапуска устройства и приложения пострадавшему приходится удалять всю беседу, так как открытие переписки, содержащей злополучное сообщение, снова вызовет сбой WhatsApp. Индийцы подтвердили, что уязвимости подвержены большинство версий Android — Jelly Bean, KitKat и младше.
«Точно так же пользователь, состоящий в вашей группе WhatsApp, может отправить специально созданное сообщение, чтобы исключить другие контакты из группы и вообще удалить всю переписку в групповом чате. Чтобы удалить историю переписки с чужого устройства, мне достаточно просто прислать специально созданное сообщение», — заявил один из юных исследователей.
Пока наличие бага подтверждено в версиях WhatsApp 2.11.431 и 2.11.432 на Android. Что касается других ОС, пользователям Windows 8.1 можно расслабиться, а о подверженности iOS данной уязвимости неизвестно.
Axarhöfði 14,
110 Reykjavik, Iceland