CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

WhatsApp a remediat o vulnerabilitate critică care punea în pericol datele utilizatorilor

WhatsApp a publicat detalii despre o vulnerabilitate de securitate catalogată drept critică, care afectează aplicația Android și care ar putea permite unei persoane rău-intenționate să compromită de la distanță smartphone-ul unei victime în timp ce aceasta se află într-un apel video.

Vulnerabilitatea (CVE-2022-36934) are scorul de 9,8 din 10 pe scara CVSS și este descrisă ca o eroare de tip integer overflow. Acest lucru se întâmplă atunci când o aplicație încearcă să efectueze un proces de calcul, dar nu are spațiu suficient în memoria alocată, astfel încât datele se vor distribui și în alte zone ale memorie și vor suprascrie informațiile existente cu cod potențial malițios.

În timp ce WhatsApp nu a oferit alte detalii ale erorii, firma de securitate Malwarebytes a declarat într-o analiză tehnică proprie că eroarea se regăsește în componenta Video Call Handler a aplicației WhatsApp. Aceștia au declarat că, dacă ar fi declanșată, aceasta ar putea permite unei persoane rău-intenționate să preia controlul complet asupra aplicației victimei.

Purtătorul de cuvânt al WhatsApp a declarat că vulnerabilitatea a fost descoperite intern și că nu au fost identificate încercări de exploatare.

Această eroare este similară unei erori din 2019 care a vizat telefoanele a peste 1400 de utilizatori, despre care, WhatsApp a declarat că se datorează producătorului de programe spion israelian NSO Group. Atacul genera o eroare în funcția de apelare audio a WhatsApp, care permitea apelantului să implementeze programe spion pe dispozitivul victimei, indiferent dacă aceasta răspundea sau nu.

WhatsApp a dezvăluit de asemenea detalii despre o altă vulnerabilitate, CVE-2022-27492, evaluată cu scorul 7,8 din 10 pe scara CVSS, care ar putea permite unui atacator să execute cod malițios pe dispozitivul iOS al victimelor după trimiterea unui fișier video rău intenționat.

Sursa: https://techcrunch.com/2022/09/27/whatsapp-critical-security-bug/?guccounter=1&guce_referrer=aHR0cHM6Ly93d3cuZ29vZ2xlLmNvbS8&guce_referrer_sig=AQAAAFkvPd45d__Xmo6dcVmMaUyE8Rz5eAdSHdqdq_YOP9CJmOIP3pPVuEmWthcNEJSdtNoSugSiWrdHlywCkWnF9Hk00JJsU0KZjvV95oJqzyU7oCbCPMf86R3j0vJU2VqkHZWEzV6aSkSnXbgMamiCMKrIDB7dMLY-odxYCZZ2DDYr

Autor

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică