WhatsApp zranitelnost
22.05.2019   
WhatsApp zranitelnost

​​Na začátku minulého týdne byla zveřejněna zranitelnost aplikace WhatsApp, která útočníkům umožňovala spuštění škodlivého kódu v mobilním zařízení, pomocí kterého mohlo dojít k úniku citlivých dat. Zranitelnost je již odstraněna v novějších verzích aplikace WhatsApp a jediný nutný krok je tedy aktualizace aplikace na nejnovější verzi.

Útok využíval zranitelnosti typu tzv. buffer overflow (přetečení zásobníku). Útočník z neznámého čísla zavolal na WhatsApp uživatele pomocí VOIP protokolu, který je k tomuto typu volání využíván. Ve fázi vyzvánění a navazování spojení útočník zaslal speciálně upravené pakety SRTCP protokolu, které zapříčinili přetečení zásobníku. Běžné typy SRTCP paketů zajišťují zabezpečené navázání spojení mezi účastníky. Přetečení zásobníku pak umožnilo spuštění útočníkova kódu v paměti, kam běžně aplikace nemá přístup. Díky tomu mohl útočník získat přístup k datům z napadeného mobilního přístroje a odcizit je. 

Z uživatelského pohledu nebylo možné útok nijak postřehnout. Nebylo nutné přijmout útočníkův hovor, protože útok byl proveden již ve fázi vyzvánění. Jakmile došlo ke spuštění škodlivého kódu, byla vymazána i informace o nepřijatém hovoru, takže uživatel nemohl mít tušení, že se stal obětí takového útoku.
Zranitelnost je dle závažnosti hodnocena jako kritická mimo jiné z důvodu, že nevyžaduje interakci uživatele a nevyžaduje využití účtu s vyšším oprávněním. Dle mezinárodního hodnocení CVSS v3.0 je hodnocena stupněm Critical s 9,8 body z 10. 

Všechny postihnuté verze aplikace WhatsApp lze najít na stránkách National Vulnerability Database pod označením zranitelnost CVE-2019-3568, níže jsou uvedeny aplikace pro platformy Android a iOS:

  • WhatsApp for Android do verze v2.19.134
  • WhatsApp Business for Android do verze v2.19.44
  • WhatsApp for iOS do verze v2.19.51
  • WhatsApp Business for iOS do verze v2.19.51
Řešením je aktualizovat aplikaci WhatsApp minimálně na vyšší verzi, než jaká je danou zranitelnosti postihnutá.

 

David Pecl

David Pecl
Security Specialist

AEC a.s.
Security Technologies Division