whatsapp

WhatsApp: un simple GIF permettait de pirater un smartphone Android

WhatsApp a récemment patché une vulnérabilité critique dans son application pour Android qui est restée non patché pendant au moins 3 mois après avoir été découverte. Si la faille est exploitée, il est possible pour un pirate distant de compromettre les appareils Android et de subtiliser des données et les historiques de conversations.

Vulnérabilité d’exécution de code à distance pas vraiment sur WhatsApp

La vulnérabilité, CVE-2019-11932, est un bug de corruption de mémoire à double libération qui ne se trouvent pas dans le code de WhatsApp mais dans une librairie d’analyse d’image GIF utilisée par l’application.

hacking whatsapp account

Découvert par un chercheur en sécurité Vietnamien, Pham Hong Nhat, en Mai l’année dernière, le problème mène à des attaques d’exécution de code à distance, permettant aux pirates d’exécuter du code arbitraire sur les appareils ciblés dans le contexte de WhatsApp avec les permissions données à l’application sur l’appareil.

“Le payload est exécuté dans le contexte de WhatsApp. Il a donc la permission de lire la carte SD et d’accéder à la base de donnée des messages WhatsApp,” ont révélé les chercheurs.

“Le code malveillant aura toutes les permissions que WhatsApp a, y compris l’enregistrement audio, l’accès à la camera, l’accès au système de fichier, ainsi que le stockage sandbox de WhatsApp qui inclut une base de données de discussion protégée, etc…”

Comment fonctionne la vulnérabilité de WhatsApp?

WhatsApp utilise la librairie d’analyse pour générer un aperçu des fichiers GIF quand les utilisateurs ouvrent leur galerie avant d’envoyer un fichier multimédia à leurs amis ou à leur famille.

La vulnérabilité n’est donc pas déclenchée en envoyant un fichier GIF malveillant à une victime mais est exécuté quand une victime ouvre sa galerie avec l’application en essayant d’envoyer un fichier multimédia à quelqu’un.

Pour exploiter ce problème, le pirate doit juste envoyer un fichier GIF malveillant à un utilisateur Android ciblé et attendre que l’utilisateur ouvre la galerie d’image dans WhatsApp.

Cependant, si les pirates veulent envoyer le fichier GIF aux victimes en utilisant les plateformes de messagerie, il faut qu’ils l’envoient sous forme de document et non sous forme de fichier joint, car la compression d’image utilisée par ces services déforme le payload malveillant caché dans les images.

Comme montré dans la preuve de concept, la vulnérabilité peut aussi être exploité pour simplement faire apparaître un shell inversé sur l’appareil piraté.

Applications et appareils vulnérables, patchs disponibles

Le problème affecte WhatsApp 2.19.230 et les versions antérieures tournant sur Android 8.1 et 9.0, mais ne fonctionne pas sur Android 8.0 et sur les versions antérieures.

“Dans les versions anciennes d’Android, la double libération peut encore être déclenchée. Cependant, à cause des appels malloc du système après la double libération, l’application crash juste avant qu’on soit capable de contrôler le registre du PC,” a écrit le chercheur.

Nhat a signalé la vulnérabilité à Facebook à la fin du mois de Juillet 2018 et la compagnie a inclut un patch de sécurité dans la version 2.19.244 de WhatsApp, sortie en Septembre 2019.

Pour se protéger de cette vulnérabilité, il est donc recommandé de mettre à jour vers la dernière version depuis le Google Play Store le plus tôt possible.

En plus de cela, comme la faille se trouve dans une librairie open-source, il est possible que d’autres applications Android utilisent la même librairie et serait donc vulnérable aux attaques similaires.

Le développeur de la librairie GIF affectée, nommée Android GIF Drawable, a aussi sorti la version 1.2.18 du logiciel pour patcher la vulnérabilité double-libération.

WhatsApp sur iOS n’est pas affecté par cette faille de sécurité.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire