一名暱稱為Awakened的新加坡資安專家,在本周揭露了WhatsApp上的一個安全漏洞,該漏洞只現身於Android版的WhatsApp程式上,一旦遭到開採,就允許駭客執行阻斷服務攻擊或執行遠端程式,波及數億的WhatsApp用戶。WhatsApp已於上個月釋出WhatsApp 2.19.244以修補該漏洞。
此一漏洞編號為CVE-2019-11932,為一記憶體重複釋放(double-free)漏洞,可造成程式當掉或衍生出遠端程式攻擊,藏匿在WhatsApp Gallery功能中。
依照Awakened的解釋,駭客可以先透過任何管道傳送一個圖像檔予WhatsApp使用者,當使用者準備與友人分享該圖片並啟用WhatsApp Gallery時,WhatsApp Gallery即會秀出存在於Gallery中的所有媒體,此時即已觸發CVE-2019-11932漏洞。
假設使用者的Android手機上已含有惡意程式,那麼就能藉由該漏洞擴張權限,竊取WhatsApp的訊息資料庫,也能搭配其它程式(如瀏覽器)的安全漏洞,以執行遠端程式攻擊。
相關的攻擊適用於Android 8.1與Android 9.0的WhatsApp程式,但若採用更舊的Android版本,那麼頂多就只會造成程式當掉。
WhatsApp已在上個月修補CVE-2019-11932漏洞,亦強調並未收到任何攻擊報告。