利用GIF图片攻击WhatsApp,实现远程命令执行

iso60001  243天前

22.png

在如今的网络社交中,GIF图是不可或缺的一部分,人们可用它生动形象地表达各种情感。但是,这么一个小小的图片可能也暗藏危险。

WhatsApp最近修补了其Android应用中的一个高危漏洞,该漏洞从发现到修复至少已有3个月的时间,一旦利用成功,就有可能让黑客远程入侵Android设备,从而窃取文件和聊天消息。

WhatsApp远程代码执行漏洞

这一漏洞被标记为CVE-2019-11932,是一个double-free的内存损坏漏洞,它实际上并不存在于WhatsApp本身的代码之中,而是在WhatsApp使用的一个开源GIF图像解析库中。

今年5月,越南安全研究人员Pham Hong Nhat发现了这个漏洞,并成功进行远程命令执行攻击。攻击者依托于WhatsApp,可在目标设备上执行任意命令。

因为攻击是基于WhatsApp的,因此可攻击者读取SDCard和WhatsApp的消息数据库。

此外,攻击者将拥有WhatsApp所拥有的所有权限,包括录制音频、访问摄像头、访问文件系统,以及WhatsApp的沙盒存储,其中包括使用者的聊天数据等……

漏洞原理

当用户向朋友或家人发送任何多媒体文件之前,都需要打开他们的设备的存储库,此时WhatsApp会使用存在缺陷的解析库生成GIF文件预览。

注意,该漏洞并不是通过向受害者发送恶意GIF文件来触发;相反,当受害者在试图发送任何恶意GIF文件时,仅仅打开WhatsApp Gallery Picker,漏洞就会被触发。

33.png

https://youtu.be/loCq8OTZEGI

为了利用这个漏洞,攻击者需要做的就是通过任何渠道向目标用户发送一个精心制作的恶意GIF文件,然后等待用户在WhatsApp中打开图片库。

而且,如果攻击者试图通过WhatsApp或Messenger等任何社交平台向受害者发送GIF文件时,需要将其作为文档文件而不是多媒体文件进行发送,因为这些网络服务会压缩图像,破坏隐藏在图像中的payload。

正如研究人员与TheHackerNews所共享的一段PoC演示所示,该漏洞可以被利用来从目标设备弹出一个反向shell。

受影响的版本

这个漏洞影响了运行在Android 8.1和9.0上的版本2.19.230及以下的WhatsApp,但不适用于Android 8.0及以下版本。

根据研究人员的说法,在早期的Android中,double-free仍然可以触发。但由于系统在使用double-free之后调用了malloc,使得应用在达到漏洞触发点之前就崩溃了。

Nhat告诉TheHackerNews,他在今年7月下旬向WhatsApp的所有者Facebook报告了这一漏洞,该公司于9月发布的WhatsApp 2.19.244版本中修复了这一漏洞。因此,为了保护自身不受此漏洞的影响,建议尽快将WhatsApp更新到最新版本。

此外,由于该漏洞存在于一个开源库中,所以其他使用了相同库的Android应用可能也存在同样的问题。

其中这个GIF解析开源库的开发者,Android GIF Drawable,也发布了最新的1.2.18版本来修复这个安全漏洞。

基于iOS的WhatsApp不受此漏洞影响。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://thehackernews.com/2019/10/pdf-password-encryption-hacking.html

最新评论

yui Aina  :  嗨,我知道几个星期前有人为我做了一些黑客工作,您可以通过BITCOINHACKERS7@**AIL.COM与他们联系。WhatsApp:+16609512284他们没有任何付款就装入了我的比特币(BTC)钱包。他们将免费加载您的BITCOIN WALLET,当工作完成时,您将与他们共享40%的资金。你有什么可失去的。WhatsApp的+16609512284电子邮件:BITCOINHACKERS7@**AIL.COM*他们以可承受的价格破解所有类型的**机,Android,Iphone和Icloud密**。*他们在大学不知情的情况下,通过Hack University Databa se更改了学校的成绩并更新了Guestbook。*他们清除犯罪记录*低息贷款,可免费**您的业务。*从所有网站数据库和**清除指纹*清除信用记录*破解并控制股票市场和外汇交易对您有利。* Western Union MTCN和Moneygram Hack*创建贝宝验证的帐户。*对Facebook登录信息进行一般**黑客攻击并**喜欢和评论,Whatsapp,Instagram,Twitter,Yahoo邮件,Skype,黑客攻击并**除Youtube视频或**观看**,**ail,Outlook Hack等。*他们是数据库黑客专家,计算机分析师和顾问,学校转校和证书伪造。破解Paypal帐户。*他们破解银行登录名,汇款,Dead fullz,破解Western Union和MoneyGram,信用转账,清除信用记录,擦除犯罪记录,修复信用报告。*他们验证帐户以进行转帐和银行登录*所有类型的一般黑客。*在几分钟内**Facebook,Instagram和Twitter的喜欢和关注者。* Word Press博客黑客*个人计算机黑客*控制设备并远程入侵***器数字黑客*游戏黑客和破解* Key Logger**与利用•在我的SQL上注入网络安全威胁*经过验证的贝宝帐户黑客*呼叫拦截*破解并清除**视频和历史记录*汽车,**机跟踪和恢复*从任何博客或网站上**除网站内容和烦人的帖子注意:付款前,他们将向您显示证明。他们最近入侵了一些银行帐户,将钱转给有**的人。只有严重的要求。记得告诉他们我介绍了您,因此您的工作完成后我可以**我的推荐**金。与他们联系:BITCOINHACKERS7@**AIL.COMWhatsApp:+16609512284他们使我恢复了**,并再次让我微笑,今天与他们联系,您会很高兴...您可以稍后感谢我。
127天前 回复
yui Aina  :  Bitcoinhackers7      @     g     m     a      i       l     .       c           o        m
127天前 回复
yui Aina  :  Bitcoinhacker7@**ail.com
127天前 回复
yui Aina  :  Bitcoinhackers7@    g   m   a   i   l  .    com
127天前 回复
昵称
邮箱
提交评论

友情链接:FOFA FOEYE BCSEC BAIMAOHUI 安全客 i春秋 指尖安全

nosec.org All Rights Reserved 京ICP备15042518号