Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità in Whatsapp per Android consente esecuzione di codice da remoto

remote code execution  whatsapp   venerdì, 4 ottobre 2019

Logo WhatsappUn ricercatore di sicurezza indipendente, conosciuto come Awakened, ha scoperto una grave vulnerabilità (CVE-2019-11932) nell’app di messaggistica WhatsApp per i dispositivi mobili Android che può consentire l’esecuzione di codice arbitrario da remoto, con conseguente compromissione totale del dispositivo.

La vulnerabilità è legata ad una falla di tipo double free (doppia liberazione di un’area di memoria) nella funzione DDGifSlurp in “decoding.c” nella libreria libpl_droidsonroids_gif (versioni precedenti la 1.2.15), utilizzata in WhatsApp per Android nelle versioni precedenti la 2.19.244. Se sfruttata con successo, la vulnerabilità può consentire ad un attaccante remoto di eseguire codice arbitrario sul dispositivo affetto o causare il crash dell’app, con conseguente condizione di denial of service.

La vulnerabilità può essere sfrutta mediante un file GIF appositamente predisposto. Lo scenario di attacco prevede tre passi distinti:

  1. L’attaccante invia il file GIF alla vittima mediante un qualsiasi canale di comunicazione: Email, app di messaggistica, ecc. (se si usa Whatsapp, il file deve essere inviato come documento allegato, non come immagine).
  2. La vittima tenta di inviare il file GIF malevolo ad uno dei suoi contatti Whatsapp scegliendolo dalla galleria dei media di Whatsapp.
  3. Whatsapp mostra all’utente il file GIF malevolo in forma di preview nella galleria provocando la corruzione della memoria e l’esecuzione del codice dell’attaccante.

La falla è stata risolta da Facebook nella versione 2.19.244 di Whatsapp.

Vista la gravità della problematica in oggetto e la disponibilità di un exploit proof-of-concept, si raccomanda a tutti gli utenti di Whatsapp  per Android di verificare la versione dell’app installata sul proprio dispositivo e procedere all’aggiornamento qualora necessario.

Per maggiori informazioni su questa vulnerabilità è possibile consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

Vulnerabilità critica in VMware ESXi e Horizon DaaS

9 dicembre 2019

VMware ha rilasciato un avviso di sicurezza relativo a una vulnerabilità critica nei prodotti VMware ESXi e Horizon DaaS che può causare l'esecuzione di codice da remoto.Leggi tutto

Aggiornamento di sicurezza Android (dicembre 2019)

4 dicembre 2019

Google ha rilasciato l'aggiornamento di sicurezza di dicembre che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto

Aggiornamento di sicurezza Android (novembre 2019)

6 novembre 2019

Google ha rilasciato l'aggiornamento di sicurezza di novembre che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto