Nově odhalené zranitelnosti WhatsAppu mohly ohrozit šifrovanou komunikaci

Zpět na blog

V aplikaci WhatsApp, která patří Facebooku, byly nedávno odhaleny dvě bezpečnostní slabiny týkající se verze pro Android. Tyto chyby by mohli útočníci zneužít k dálkovému spuštění škodlivého kódu na zařízení oběti, a dokonce k ohrožení šifrované komunikace.

Chyby se týkají zařízení s Androidem (až po Android 9) a provádějí tzv. „man-in-disk“ útok, který útočníkům umožňuje kompromitovat aplikaci manipulací s určitými daty, která jsou mezi ní a externím úložištěm vyměňována.

„Tyto dvě zranitelnosti WhatsAppu by útočníkům umožnily na dálku sbírat šifrovaný materiál TLS pro TLS 1.3 a TLS 1.2, uvedli bezpečnostní experti z Census Labs.

Chyba (CVE-2021-24027) souvisí s podporou Chromu v Androidu (prostřednictvím schématu „content://“ URL) a s obcházením zásad stejného původu v prohlížeči (CVE-2020-6516), což útočníkovi umožňuje oběti poslat speciálně vytvořený soubor HTML přes aplikaci WhatsApp, která po otevření v prohlížeči spustí kód v něm obsažený.

Škodlivý kód může být použit pro přístup k jakémukoliv prostředku uloženému v nechráněném externím úložišti, včetně těch z aplikace WhatsApp, u které bylo zjištěno, že ukládá podrobnosti klíčů TLS mimo jiné v podadresáři. V důsledku toho vystavuje citlivé informace jakékoli aplikaci, která je připravena číst nebo zapisovat z externího úložiště.

„Jediné, co útočník musí udělat, je nalákat oběť, aby otevřela HTML přílohu,“ řekl bezpečnostní expert ze Census Labs Chariton Karamitas. „Aplikace WhatsApp otevře tuto přílohu v prohlížeči Chrome a Javascript útočníka bude moci ukrást uložené klíče relací TLS.“

Útočník vyzbrojený klíči pak může provést útok „man-in-the-middle“, aby na dálku spustil kód, nebo dokonce vyfiltrovat páry klíčů protokolu Noise (používané pro end-to-end šifrování), které aplikace shromáždila pro diagnostické účely, a to tak, že na zařízení oběti na dálku záměrně spustí chybu paměti. Po vyhození této chyby se spustí ladicí mechanismus WhatsAppu a nahraje zakódované páry klíčů spolu s protokoly aplikací, systémovými informacemi a dalším obsahem paměti na vyhrazený server pro protokoly o pádech („crashlogs.whatsapp.net“).

Aby Google takovým útokům zabránil, zavedl v Androidu 10 funkci zvanou „scoped storage“, která dává každé aplikaci izolovaný úložný prostor na zařízení tak, že žádná jiná aplikace instalovaná na stejném zařízení nemá přímý přístup k datům uloženým jinými aplikacemi.

Zatím není známo, že by tuto zranitelnost někdo zneužil, přestože v minulosti byly chyby ve WhatsAppu zneužívány k instalaci spywaru, který byl následně využíván ke sledování uživatelů. Uživatelům aplikace WhatsApp se doporučuje aktualizovat na verzi 2.21.4.18, aby se zmírnilo riziko zneužití uvedených zranitelností.

Zdroj: THN

19. 4. 2021