Vous savez, la mise à jour des logiciels et des applications est un comportement très important en matière de sécurité. Des preuves récentes proviennent de cette affaire : un expert en la matière qui s’identifie comme Awakened a trouvé un bug dans WhatsApp qui permet d’envahir les smartphones Android à partir d’un GIF.
Tout commence par l’envoi d’un fichier GIF préparé pour exploiter la vulnérabilité en question. Cette image peut être envoyée par n’importe quel canal, par exemple la fonction de partage de documents de WhatsApp.
L’important est que le fichier soit enregistré sur le téléphone. Si l’envahisseur (ou un ami dont le téléphone portable a déjà été compromis, par exemple) figure dans la liste de contacts de l’utilisateur, ce fichier sera téléchargé automatiquement. Ensuite, lorsque la victime ouvre la galerie d’images depuis WhatsApp, la faille sera exploitée même si le GIF n’est pas sélectionné.
En effet, l’application effectue une prévisualisation du contenu à l’ouverture de la galerie et, dans le cas des GIF, déclenche une bibliothèque nommée libpl_droidsonroids_gif.so pour la démarrer. Eh bien, la faille se trouve dans ce composant.
Lorsqu’elle est exploitée, la vulnérabilité peut corrompre le contenu de la mémoire. Ce qui se passe alors dépend de l’intention de l’envahisseur. Les applications peuvent cesser de fonctionner correctement ou le contenu de l’appareil peut être accessible à distance par d’autres personnes, par exemple.
Apparemment, la panne ne peut être exploitée que sur les smartphones avec Android 8.1 et 9.0. La bonne nouvelle est que la vulnérabilité a été corrigée à partir de la version 2.19.244 de WhatsApp, sortie début septembre.
Dans une note, Facebook a reconnu le bogue, mais a déclaré que le problème avait été corrigé rapidement, donc “il n’a aucune raison de croire que la vulnérabilité a affecté les utilisateurs.
Awakened a expliqué la faille en détail sur cette page à GitHub.
