仅仅是一张GIF图像就可以使用WhatsApp入侵你的Android手机

如今，短循环剪辑、GIF无处不在—；在你的社交媒体上，在你的留言板上，在你的聊天中，帮助用户完美地表达他们的情绪，让人们开怀大笑，重温精彩。

但是，如果一个看起来天真无邪的GIF问候语，上面写着早上好、生日快乐或圣诞快乐的信息，入侵了你的智能手机，那该怎么办？

这不再是理论上的想法了。

WhatsApp最近修补了其Android应用程序中的一个关键安全漏洞，该漏洞被发现后至少三个月未修补，如果被利用，可能会让远程黑客入侵Android设备，并可能窃取文件和聊天信息。

WhatsApp远程代码执行漏洞

该漏洞被追踪为CVE-2019-11932，是一个双自由内存损坏漏洞，实际上并不存在于WhatsApp代码本身，而是存在于WhatsApp使用的开源GIF图像解析库中。


越南安全研究人员Pham Hong Nhat在今年5月发现了该问题，该问题成功地导致了远程代码执行攻击，使攻击者能够在WhatsApp环境下，以应用程序在设备上拥有的权限在目标设备上执行任意代码。

“有效载荷是在WhatsApp环境下执行的。因此它有权读取SD卡并访问WhatsApp消息数据库，”研究人员在电子邮件采访中告诉《黑客新闻》。

"Malicious code will have all the permissions that WhatsApp has, including recording audio, accessing the camera, accessing the file system, as well as WhatsApp's sandbox storage that includes protected chat database and so on…"

WhatsApp RCE漏洞是如何工作的？

当用户在向朋友或家人发送任何媒体文件之前打开设备库时，WhatsApp使用相关的解析库生成GIF文件的预览。

因此，需要注意的是，向受害者发送恶意GIF文件不会触发该漏洞；相反，当受害者自己试图向某人发送任何媒体文件时，只要打开WhatsApp Gallery选择器，就会执行该命令。


要利用此问题，攻击者只需通过任何在线通信渠道向目标Android用户发送精心编制的恶意GIF文件，然后等待用户在WhatsApp中打开图像库。

然而，如果攻击者希望通过WhatsApp或Messenger等任何消息平台将GIF文件发送给受害者，他们需要将其作为文档文件而不是媒体文件附件发送，因为这些服务使用的图像压缩会扭曲隐藏在图像中的恶意负载。

正如研究人员与黑客新闻分享的概念验证视频演示所示，该漏洞也可以被利用，从被黑客攻击的设备远程弹出一个反向外壳。

易受攻击的应用程序、设备和可用补丁

该问题影响了运行在安卓8.1和9.0上的WhatsApp 2.19.230版本和更旧版本，但不适用于安卓8.0及以下版本。

研究人员写道：“在较旧的Android版本中，double free仍然可以触发。然而，由于double free后系统调用malloc，应用程序在达到我们可以控制PC注册的程度之前就崩溃了。”。

一行告诉黑客新闻，他在今年7月底向拥有WhatsApp的Facebook报告了该漏洞，该公司在9月发布的WhatsApp 2.19.244版中包含了一个安全补丁。

因此，为了保护自己免受围绕此漏洞的任何攻击，建议您尽快从Google Play Store将WhatsApp更新至最新版本。

除此之外，由于该漏洞存在于一个开源库中，因此使用同一受影响库的任何其他Android应用程序也可能容易受到类似攻击。

被称为Android GIF Drawable的受影响GIF库的开发人员也发布了该软件的1.2.18版，以修补双自由漏洞。

WhatsApp for iOS不受此漏洞的影响。