利用GIF图片攻击WhatsApp，实现远程命令执行

在如今的网络社交中，GIF图是不可或缺的一部分，人们可用它生动形象地表达各种情感。但是，这么一个小小的图片可能也暗藏危险。

WhatsApp最近修补了其Android应用中的一个高危漏洞，该漏洞从发现到修复至少已有3个月的时间，一旦利用成功，就有可能让黑客远程入侵Android设备，从而窃取文件和聊天消息。

WhatsApp远程代码执行漏洞

这一漏洞被标记为CVE-2019-11932，是一个double-free的内存损坏漏洞，它实际上并不存在于WhatsApp本身的代码之中，而是在WhatsApp使用的一个开源GIF图像解析库中。

今年5月，越南安全研究人员Pham Hong Nhat发现了这个漏洞，并成功进行远程命令执行攻击。攻击者依托于WhatsApp，可在目标设备上执行任意命令。

因为攻击是基于WhatsApp的，因此可攻击者读取SDCard和WhatsApp的消息数据库。

此外，攻击者将拥有WhatsApp所拥有的所有权限，包括录制音频、访问摄像头、访问文件系统，以及WhatsApp的沙盒存储，其中包括使用者的聊天数据等……

漏洞原理

当用户向朋友或家人发送任何多媒体文件之前，都需要打开他们的设备的存储库，此时WhatsApp会使用存在缺陷的解析库生成GIF文件预览。

注意，该漏洞并不是通过向受害者发送恶意GIF文件来触发；相反，当受害者在试图发送任何恶意GIF文件时，仅仅打开WhatsApp Gallery Picker，漏洞就会被触发。

https://youtu.be/loCq8OTZEGI

为了利用这个漏洞，攻击者需要做的就是通过任何渠道向目标用户发送一个精心制作的恶意GIF文件，然后等待用户在WhatsApp中打开图片库。

而且，如果攻击者试图通过WhatsApp或Messenger等任何社交平台向受害者发送GIF文件时，需要将其作为文档文件而不是多媒体文件进行发送，因为这些网络服务会压缩图像，破坏隐藏在图像中的payload。

正如研究人员与TheHackerNews所共享的一段PoC演示所示，该漏洞可以被利用来从目标设备弹出一个反向shell。

受影响的版本

这个漏洞影响了运行在Android 8.1和9.0上的版本2.19.230及以下的WhatsApp，但不适用于Android 8.0及以下版本。

根据研究人员的说法，在早期的Android中，double-free仍然可以触发。但由于系统在使用double-free之后调用了malloc，使得应用在达到漏洞触发点之前就崩溃了。

Nhat告诉TheHackerNews，他在今年7月下旬向WhatsApp的所有者Facebook报告了这一漏洞，该公司于9月发布的WhatsApp 2.19.244版本中修复了这一漏洞。因此，为了保护自身不受此漏洞的影响，建议尽快将WhatsApp更新到最新版本。

此外，由于该漏洞存在于一个开源库中，所以其他使用了相同库的Android应用可能也存在同样的问题。

其中这个GIF解析开源库的开发者，Android GIF Drawable，也发布了最新的1.2.18版本来修复这个安全漏洞。

基于iOS的WhatsApp不受此漏洞影响。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://thehackernews.com/2019/10/pdf-password-encryption-hacking.html