Zraniteľnosť WhatsApp
22. 5. 2019
Zraniteľnosť WhatsApp

Na začiatku minulého týždňa bola zverejnená zraniteľnosť aplikácie WhatsApp, ktorá útočníkom umožňovala spustenie škodlivého kódu v mobilnom zariadení, pomocou ktorého mohlo dôjsť k úniku citlivých dát. Zraniteľnosť je už odstránená v novších verziách aplikácie WhatsApp a jediný nutný krok je teda aktualizácia aplikácie na najnovšiu verziu.

Útok využíval zraniteľnosť typu tzv. buffer overflow (pretečenie zásobníka). Útočník z neznámeho čísla zavolal na WhatsApp používateľa pomocou VOIP protokolu, ktorý sa na tento typ volania využíva. Vo fáze vyzváňania a nadväzovania spojenia útočník zaslal špeciálne upravené pakety SRTCP protokolu, ktoré zapríčinili pretečenie zásobníka. Bežné typy SRTCP paketov zaisťujú zabezpečené nadviazanie spojenia medzi účastníkmi. Pretečenie zásobníka potom umožnilo spustenie útočníkovho kódu v pamäti, kam bežne aplikácia nemá prístup. Vďaka tomu mohol útočník získať prístup k dátam z napadnutého mobilného prístroja a odcudziť ich. 

Z pohľadu používateľa nebolo možné útok nijako postrehnúť. Nebolo nutné prijať útočníkov hovor, pretože útok bol vykonaný už vo fáze vyzváňania. Akonáhle došlo k spusteniu škodlivého kódu, bola vymazaná aj informácia o neprijatom hovore, takže používateľ nemohol tušiť, že sa stal obeťou takéhoto útoku.
Zraniteľnosť je podľa závažnosti hodnotená ako kritická aj z toho dôvodu, že nevyžaduje interakciu používateľa a nevyžaduje využitie účtu s vyšším oprávnením. Podľa medzinárodného hodnotenia CVSS v3.0 je hodnotená stupňom Critical s 9,8 bodmi z 10. 

Všetky postihnuté verzie aplikácie WhatsApp možno nájsť na stránkach National Vulnerability Database pod označením zraniteľnosť CVE-2019-3568, níže jsou uvedeny aplikace pro platformy Android a iOS:

  • WhatsApp for Android do verzie v2.19.134
  • WhatsApp Business for Android do verzie v2.19.44
  • WhatsApp for iOS do verzie v2.19.51
  • WhatsApp Business for iOS do verzie v2.19.51
Riešením je aktualizovať aplikáciu WhatsApp minimálne na takú verziu, ktorá je vyššia, ako aplikácia postihnutá danou zraniteľnosťou.