WhatsApp : un GIF vérolé permettait d'infecter les terminaux sous Android (double-mémoire qui flanche) !

Alors que WhatsApp, selon les dernières rumeurs relayées par WABetaInfo, travaillerait sur des messages temporaires (comme le propose déjà certaines applications : TigerText, entre-autres), l'autodestruction ne semble pas que s'incarner dans ses projets : l'application aurait été compromise via une double-faille qui résidait au sein du traitement (allocation-mémoire) de l'image matricielle...

 

 

Cette double vulnérabilité (CVE-2019-11932) prenait sa source dans une mauvaise gestion d'une mémoire-tampon gérée sous Android et nommée RasterBits. Dans les grandes lignes, l'allocation est, en général, unique pour un média donné (ici, une image / photo). Or, WhatsApp permettait une réallocation avec deux conditions qui possédait une valeur nulle ("0" !) ce qui permettait à un individu malveillant d'exploiter cette vulnérabilité double puisque l'image d'origine (saine) était attribuée deux fois de suite pour, au final donc, réinitialiser en mémoire-tampon, la valeur numérique de ce média.

Une élévation de privilèges pouvait être observée via une application malicieuse : une fois active, depuis une librairie spécifique (aspirée), le code vérolé permettait une fuite de données allant jusqu'aux messages stockés dans les bases de données... De plus, en doublon avec une autre application malveillante, un GIF modifié (et malveillant) pouvait être envoyé vers un autre usager de WhatsApp (en tant que pièce jointe). Une fois la pièce ouverte (en vue "Galerie"), un serveur SSH (SHELL) distant prenait le relais ; sans doute pour le pire.

Awekened, qui a mis en lumière la faille explicité dans un billet dédié datant du 2 Octobre, explique que Facebook a été informé sur l'affaire : un patch a, depuis, été mis en place (mise à jour 2.19.244 de WhatsApp) pour colmater la version 2.19.230 de l'application. A noter que la faille fonctionnait sous Android 8.1 et 9.0 "mais ne fonctionnait pas pour Android 8.0 et versions inférieures"... A veiller !

 

Source : Blog Awakened - 2 Octobre 2019 - WhatsApp : double-faille mémoire-tampon de réallocation d'image (exécution de code distant).