Nově odhalené zranitelnosti WhatsAppu mohly ohrozit šifrovanou komunikaci
Zpět na blogV aplikaci WhatsApp, která patří Facebooku, byly nedávno odhaleny dvě bezpečnostní slabiny týkající se verze pro Android. Tyto chyby by mohli útočníci zneužít k dálkovému spuštění škodlivého kódu na zařízení oběti, a dokonce k ohrožení šifrované komunikace.
Chyby se týkají zařízení s Androidem (až po Android 9) a provádějí tzv. „man-in-disk“ útok, který útočníkům umožňuje kompromitovat aplikaci manipulací s určitými daty, která jsou mezi ní a externím úložištěm vyměňována.
„Tyto dvě zranitelnosti WhatsAppu by útočníkům umožnily na dálku sbírat šifrovaný materiál TLS pro TLS 1.3 a TLS 1.2,“ uvedli bezpečnostní experti z Census Labs.
Chyba (CVE-2021-24027) souvisí s podporou Chromu v Androidu (prostřednictvím schématu „content://“ URL) a s obcházením zásad stejného původu v prohlížeči (CVE-2020-6516), což útočníkovi umožňuje oběti poslat speciálně vytvořený soubor HTML přes aplikaci WhatsApp, která po otevření v prohlížeči spustí kód v něm obsažený.
Škodlivý kód může být použit pro přístup k jakémukoliv prostředku uloženému v nechráněném externím úložišti, včetně těch z aplikace WhatsApp, u které bylo zjištěno, že ukládá podrobnosti klíčů TLS mimo jiné v podadresáři. V důsledku toho vystavuje citlivé informace jakékoli aplikaci, která je připravena číst nebo zapisovat z externího úložiště.
„Jediné, co útočník musí udělat, je nalákat oběť, aby otevřela HTML přílohu,“ řekl bezpečnostní expert ze Census Labs Chariton Karamitas. „Aplikace WhatsApp otevře tuto přílohu v prohlížeči Chrome a Javascript útočníka bude moci ukrást uložené klíče relací TLS.“
Útočník vyzbrojený klíči pak může provést útok „man-in-the-middle“, aby na dálku spustil kód, nebo dokonce vyfiltrovat páry klíčů protokolu Noise (používané pro end-to-end šifrování), které aplikace shromáždila pro diagnostické účely, a to tak, že na zařízení oběti na dálku záměrně spustí chybu paměti. Po vyhození této chyby se spustí ladicí mechanismus WhatsAppu a nahraje zakódované páry klíčů spolu s protokoly aplikací, systémovými informacemi a dalším obsahem paměti na vyhrazený server pro protokoly o pádech („crashlogs.whatsapp.net“).
Aby Google takovým útokům zabránil, zavedl v Androidu 10 funkci zvanou „scoped storage“, která dává každé aplikaci izolovaný úložný prostor na zařízení tak, že žádná jiná aplikace instalovaná na stejném zařízení nemá přímý přístup k datům uloženým jinými aplikacemi.
Zatím není známo, že by tuto zranitelnost někdo zneužil, přestože v minulosti byly chyby ve WhatsAppu zneužívány k instalaci spywaru, který byl následně využíván ke sledování uživatelů. Uživatelům aplikace WhatsApp se doporučuje aktualizovat na verzi 2.21.4.18, aby se zmírnilo riziko zneužití uvedených zranitelností.
Zdroj: THN
19. 4. 2021