计算机紧急响应小组(CERT)已注意到WhatsApp中的一个漏洞,该漏洞使远程攻击者可以通过以MP4文件格式发送受感染的视频文件来锁定手机。漏洞说明CIVN-2019-0181中的威胁已归类为“高严重性”类别。根据该公司和CERT发布的咨询报告,WhatsApp问题影响了Android和iOS用户。
根据WhatsApp通知的安全消息,“通过将特制的MP4文件发送给WhatsApp用户,可以在WhatsApp中触发基于堆栈的缓冲区溢出。远程攻击者可以通过向目标系统发送特制的MP4文件来利用此漏洞。”
据报道,这种新威胁触发了缓冲区溢出条件,导致攻击者执行了任意代码。同样,利用不需要受害者端的任何形式的身份验证。它在接收者的系统上下载恶意制作的MP4文件时执行,该文件可以由有权访问用于WhatsApp的用户手机号码的任何人发送。
安全消息中说:“成功利用此漏洞可能使远程攻击者导致远程代码执行(RCE)或拒绝服务(DoS)条件,这可能导致系统进一步受损。”通常使用RCE攻击在设备上运行恶意软件,并且该攻击用于在用户不知情的情况下从设备窃取信息。
WhatsApp的通报还指出,此问题会影响v2.19.134之前的Android版本,v2.19.44之前的Android WhatsApp Business,v2.19.51之前的iOS WhatsApp,v2.19.51之前的iOS WhatsApp Business,Windows Phone之前的WhatsApp到v2.18.348,以及v2.18.15之前的WhatsApp for Tizen。
不过,WhatsApp发言人表示,没有理由相信用户受到了影响。“ WhatsApp一直在努力提高我们服务的安全性。声明说,我们就已解决的潜在问题与行业最佳实践进行了公开报道。仍然建议用户更新到已解决问题的最新版本。
来自Facebook的咨询只提供了有关该问题的更多详细信息。我们所知道的是,攻击者可以利用该漏洞将系统定位为目标,这听起来与大多数恶意软件或软件的工作方式相似。
在Pegasus侦听案之后,WhatsApp目前受到关注,该案是总部位于以色列的软件制造商NSO Group使用其先进的软件来针对消息传递应用程序,然后入侵手机。Pegasus利用了WhatsApp的视频通话功能中的一个缺陷,将其安装在设备上后,便可以完全控制该设备,包括其电话,消息,甚至可以远程用于打开相机或麦克风。