WhatsApp Üzerinden Gönderilen GIF Resmi Android Telefonlara Yetkisiz Erişim Verebilir

WhatsApp Üzerinden Gönderilen GIF Resmi Android Telefonlara Yetkisiz Erişim (Hack) Verebilir

WhatsApp Üzerinden Gönderilen GIF Resmi Android Telefonlara Yetkisiz Erişim Verebilir

WhatsApp geçenlerde kritik seviyedeki Android GIF güvenlik açığını yamadı. Buna göre masum gibi gözüken bir GIF resmi android telefonlara izinsiz erişim verebiliyor.

CVE-2019-11932 takip nosu ile belirtilen açık aslında WhatsApp kodunun içindeki bir hatayı sömürmüyor. Bunun yerine WhatsApp içinde kullanılan açık kaynak kodlu bir GIF görüntüleme kütüphanesindeki hatadan faydalanıyor.

Vietnamlı güvenlik araştırmacısı Pham Hong Nhat tarafından bu yıl Mayıs ayında keşfedilen sorun, uzaktan kod yürütme saldırılarına yol açarak saldırganların, uygulamanın cihazdaki izinleri ile WhatsApp bağlamında hedeflenen cihazlarda keyfi kod çalıştırmalarına olanak sağladı.

WhatsApp RCE Güvenlik Açığı Nasıl Çalışır?

WhatsApp, kullanıcılar arkadaşlarına veya ailelerine herhangi bir medya dosyasını göndermeden önce cihaz galerisini açtıklarında GIF dosyalarının önizlemesini oluşturmak için söz konusu ayrıştırma kütüphanesini kullanır.

WhatsApp Üzerinden Gönderilen GIF Resmi Android Telefonlara Yetkisiz Erişim (Hack) Verebilir


Dikkat edilmesi gereken nokta, zararlı kod içeren GIF dosyasını hedef cihaza gönderilince aktive olmaması bunun yerine hedef başkasına resim göndermek için WhatsApp Resim Seçici uygulamasını açtığı zaman aktif hale gelmesi.

Etkilenen Uygulamalar, Cihazlar ve Kullanılabilir Yamalar

Sorun, WhatsApp sürüm 2.19.230’u ve Android 8.1 ve 9.0’da çalışan eski sürümleri etkiler, ancak Android 8.0 ve altındaki sürümlerde çalışmaz.

Bu açıktan IOS (Apple) cihazlar etkilenmedi.

WhatsApp Eylül ayında yayınlanan sürüm 2.19.244 düzeltme yaması ile bu güvenlik açığının kapandığını bildirdi.

Sonuç olarak tanıdığınız insanlardan bile gelse şüpheli gözüken dosyaları açmamakta ve WhatsApp uygulamanızı halen güncellemediyseniz acilen güncellemenizde fayda var.

Kaynak: https://bit.ly/2VtnBeN