WhatsApp’tan Bir GIF ile Android Telefonunuz Hacklenebilir
WhatsApp‘ta kullanıcıları Eklendi oturumlarını, dosyaları ve iletileri tehlikeye sokmak için kötü niyetli GIF‘ten yararlanan yeni tek güvenlik açığı keşfedildi.
CVE-2019-11932 olarak isimlendirilen güvenlik açığı, 2.19.244‘ün altındaki bütün sürümlerde WhatsApp for Android‘de tespit edilen “double free” hatasıdır.
Bu kötü niyetli kod ile atak yapmış saldırganlar, ses kaydı alabilmek, kameraya erişmek, dosya sistemine erişmek ve WhatsApp’ın savunmalı Eklendi veritabanını sahibi olan sanal alan depolaması vb. dahil olmak suretiyle WhatsApp’ın mevcut bütün izinlere sahip olabilmektedir.
Bu problemden istifade etmek için, saldırganın yapılması lüzumlenen tek şey, herhangi bir online etkileşim kanalı üstünden amaçlanan tek Android kullanıcısına kalifiye hazırlanmış kötü niyetli tek GIF dosyasını sevk etmek ve kullanıcının WhatsApp’ta görüntü galerisini açmasını beklemektir.
Ancak, saldırganlar WhatsApp ya da Messenger gibi herhangi bir mesajlaşma platformu üstünden GIF dosyasını kurbanlara sevk etmek istiyorsa, bu hizmetler doğrulusunda sarfedilen görüntü sıkıştırması görüntülerde gizlenen kötü niyetli yükü bozduğundan, basın dosyası ekleri adına tek vesika dosyası olarak göndermeleri gerekir.
Güvenlik açığı, incelemeci Awakened doğrulusunda Facebook‘a bildirildi ve 2.19.244 sürümünün yayımlanmasıyla düzeltildi. Awakened, bu kusurun Android 8.1 ve 9.0 çalıştıran cihazlarda uzaktan kod çalıştırılmasına destur verildiğini fakat mobil işletim düzeneğinin evvelki sürümlerinde tekilce görev reddi (DoS) saldırıları için yararlanılabileceğini söyledi.
Güvenlik açığı, GIF dosyalarının önizlemelerini meydana getirmek için WhatsApp doğrulusunda sarfedilen “libpl_droidsonroids_gif.so” isimli tek açık kaynak kütüphanesinde yer almaktadır ve bu kütüphanedeki mesele çözüme kavuşmuştur.
Güvenlik açığından yararlanılması, kötü niyetli tek aktörün, tehlikeye atılmış tek Android telefondaki imtiyazları artırmasına ve WhatsApp iletileri veritabanı da dahil olmak suretiyle aygıtta depolanan dosyalara erişmesine destur verebilir. WhatsApp bağlamında uzak tek kabuk meydana getirmek için de kullanılabilir.
CVE-2019-11932 olarak isimlendirilen güvenlik açığı, 2.19.244‘ün altındaki bütün sürümlerde WhatsApp for Android‘de tespit edilen “double free” hatasıdır.
Bu kötü niyetli kod ile atak yapmış saldırganlar, ses kaydı alabilmek, kameraya erişmek, dosya sistemine erişmek ve WhatsApp’ın savunmalı Eklendi veritabanını sahibi olan sanal alan depolaması vb. dahil olmak suretiyle WhatsApp’ın mevcut bütün izinlere sahip olabilmektedir.
Bu problemden istifade etmek için, saldırganın yapılması lüzumlenen tek şey, herhangi bir online etkileşim kanalı üstünden amaçlanan tek Android kullanıcısına kalifiye hazırlanmış kötü niyetli tek GIF dosyasını sevk etmek ve kullanıcının WhatsApp’ta görüntü galerisini açmasını beklemektir.
Ancak, saldırganlar WhatsApp ya da Messenger gibi herhangi bir mesajlaşma platformu üstünden GIF dosyasını kurbanlara sevk etmek istiyorsa, bu hizmetler doğrulusunda sarfedilen görüntü sıkıştırması görüntülerde gizlenen kötü niyetli yükü bozduğundan, basın dosyası ekleri adına tek vesika dosyası olarak göndermeleri gerekir.
Güvenlik açığı, incelemeci Awakened doğrulusunda Facebook‘a bildirildi ve 2.19.244 sürümünün yayımlanmasıyla düzeltildi. Awakened, bu kusurun Android 8.1 ve 9.0 çalıştıran cihazlarda uzaktan kod çalıştırılmasına destur verildiğini fakat mobil işletim düzeneğinin evvelki sürümlerinde tekilce görev reddi (DoS) saldırıları için yararlanılabileceğini söyledi.
Güvenlik açığı, GIF dosyalarının önizlemelerini meydana getirmek için WhatsApp doğrulusunda sarfedilen “libpl_droidsonroids_gif.so” isimli tek açık kaynak kütüphanesinde yer almaktadır ve bu kütüphanedeki mesele çözüme kavuşmuştur.
Güvenlik açığından yararlanılması, kötü niyetli tek aktörün, tehlikeye atılmış tek Android telefondaki imtiyazları artırmasına ve WhatsApp iletileri veritabanı da dahil olmak suretiyle aygıtta depolanan dosyalara erişmesine destur verebilir. WhatsApp bağlamında uzak tek kabuk meydana getirmek için de kullanılabilir.
Yorumlar
Yorum Gönder