Следующая новость
Предыдущая новость

Баг в WhatsApp позволял спровоцировать сбой в работе и потерю данных

18.12.2019 20:22
Баг в WhatsApp позволял спровоцировать сбой в работе и потерю данных

Рекомендуем почитать:

Xakep #247. Мобильная антислежка

  • Содержание выпуска
  • Подписка на «Хакер»

Исследователи компании Check Point обнаружили уязвимость в мессенджере WhatsApp, которая позволяла атакующему нарушить работу приложения у всех участников выбранного чата, просто отправив вредоносное сообщение в группу. Пострадавшим приходилось удалять и скачивать мессенджер заново, но даже это не давало возможности вернуться в чат. В конце концов, приходится удалить сам чат, что приводит к потере всех сообщений.

Ошибка была обнаружена в августе 2019 года, и разработчики устранили ее в обновлении версии 2.19.246 и выше.

Исследователи объясняют, что корень ошибки крылся в реализации протокола XMPP (Extensible Messaging and Presence Protocol). Так, для атаки эксперты воспользовались WhatsApp Web и Chrome DevTools. Обычно, когда пользователь WhatsApp отправляет сообщение в групповой чат, приложение проверяет его номер телефона, что позволяет определить, кто именно отправил сообщение. Эксперты Check Point обнаружили возможность манипулировать этим и другими параметрами.

Баг в WhatsApp позволял спровоцировать сбой в работе и потерю данных

В конечном итоге специалистам удалось обнаружить, что подмена номера телефона отправителя на любой нецифровый символ(ы) провоцирует возникновение ошибки у всех участников чата. Получив такое послание, WhatsApp будет аварийно завершать работу на каждом телефоне, который входит в группу. PoC-видео можно увидеть ниже.

Источник

Последние новости