使用GIF获取文件 照片发现权限的WhatsApp错误

一位研究人员在Android版WhatsApp中发现了一个漏洞,该漏洞利用了恶意GIF来使黑客可以访问用户设备上的文件和消息。此后,Facebook修复了适用于Android的WhatsApp版本2.19.244中的漏洞。

一位研究人员在Android版 WhatsApp中发现了一个漏洞,该漏洞利用了恶意GIF来使黑客可以访问用户设备上的文件和消息。这位名为Awakened 的研究人员在GitHub上发布了一篇详细的文章,揭示了WhatsApp中的双重免费漏洞。

在研究人员通知该公司后,Facebook已在Android的WhatsApp版本2.19.244中修复了该漏洞。受该应用程序影响的Android版本是Android 8.1和9.0,因此不要担心Android 8.0及更低版本上的那些版本。

该漏洞利用依赖于恶意GIF文件,攻击者可以通过WhatsApp将其作为附件发送给用户。当用户单击“纸张单击”图标以打开“图库”以选择要发送给任何联系人的媒体时,将触发该错误。“由于WhatsApp显示了每种媒体的预览(包括收到的GIF文件),它将触发双重释放错误和我们的RCE利用,” Awakened在帖子中解释说。该错误可能会获得对用户设备的访问权限。

Facebook在发给TheNextWeb的电子邮件声明中确认 ,该问题已于8月在上个月得到解决。但是,WhatsApp发言人告诉该网站,只有当用户采取行动发送GIF时,该漏洞利用才能被取消,研究人员对此表示不同意。

研究人员在给TheNextWeb的电子邮件中说,WhatsApp的说法不正确。他补充说:“发言人一定对这个问题有误解。” 《觉醒》还发布了一段视频,展示了实施攻击的步骤。

版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。

相关推荐