וואטסאפ פרסמה אתמול (שלישי) פרטים על פרצת אבטחה בדירוג "קריטי" המשפיעה על אפליקציית האנדרואיד שלה, שעלולה לאפשר לתוקפים לשתול מרחוק תוכנות זדוניות בסמארטפון של הקורבן במהלך שיחת וידאו.
הבאג, שקיבל דירוג חומרה של 9.8 מתוך 10, מתואר על ידי וואטסאפ כבאג הצפת מספר שלם. זה קורה כאשר אפליקציה מנסה לבצע תהליך חישובי אך אין לה מקום בזיכרון שהוקצה לה, מה שגורם לנתונים להישפך החוצה ולדרוס חלקים אחרים של זיכרון המערכת בקוד שעלול להיות זדוני.
וואטסאפ לא שיתפה פרטים נוספים על הבאג, אבל חברת מחקר האבטחה Malwarebytes טענה בניתוח הטכני שלה שהבאג נמצא ברכיב באפליקציה בשם "Video Call Handler", שאם יופעל יאפשר לתוקף להשתלט על האפליקציה של הקורבן.
דובר וואטסאפ, ג'ושוע ברקמן, טען לאתר האמריקאי TechCrunch כי הבאגים התגלו בתוך החברה ולא נצפו "שום עדויות לניצול".
הפרצת אבטחה בדירוג קריטי דומה לבאג משנת 2019, אז וואטסאפ האשימה את יצרנית תוכנות הריגול הישראלית NSO שהתמקדה ב-1,400 טלפונים של קורבנות, כולל עיתונאים, פעילי זכויות אדם ואזרחים אחרים. המתקפה מינפה באג בתכונת שיחות האודיו של וואטסאפ שאפשרה למתקשר לשתול תוכנות ריגול במכשיר של הקורבן, ללא קשר אם השיחה נענתה.
וואטסאפ גם חשפה השבוע פרטים על פגיעות נוספת, CVE-2022-27492, שדורגה "גבוהה" בחומרתה עם ציון של 7.8 מתוך 10, מה שעלול לאפשר להאקרים להריץ קוד זדוני במכשיר ה-iOS של הקורבן לאחר שליחת קובץ וידאו זדוני.
אם אתם דואגים לגבי המכשיר שלכם, כל מה שאתם צריכים לעשות הוא לבדוק האם האפליקציה שלכם מעודכת. אצל רוב המשתמשים האפשרות לעדכון אוטומטי כבר מסומנת, מה שאומר שהמכשיר שלהם עדכן את התוכנה עם התיקונים לבד. במידה ואתם רואים בחנות האפליקציות אפשרות לעדכון התוכנה, עשו זאת מיד.
הדבר נכון לגבי רוב האפליקציות שיש לכם בסמארטפון, ברגע שמתגלה בעיה החברות מוציאות עדכון עם עדכוני אבטחה הדרושים ולכן מומלץ לתת לאפליקציות להתעדכן אוטומטית.