Angriff auf WhatsApp mit GIF-Bildern

Der Sicherheitsforscher  Awakened hat eine schwerwiegende Schwachstelle in WhatsApp entdeckt. Mit speziell gestalteten GIF-Dateien können Angreifer Chat-Sitzungen kompromittieren und auch auf Dateien und Nachrichten aus dem Chat zugreifen.

Das Die Sicherheitslücke betrifft WhatsApp für Android in Version 2.19.243 und früher.

Die Anfälligkeit trägt die Kennung CVE-2019-11932 und ist ein sogenannter Double-Free-Bug.

Wie der Trick funktioniert

Dabei wird ein „free()“-Parameter zweimal für denselben Argument in der Software aufgerufen, um den mit „malloc()“ angeforderten   dynamischen Speicher wieder freizugeben. Das kann es Angreifern gestatten, die freigegebenen Speicherbereiche mit bösartigen Inhalten zu überschreiben.

Die türöffnende GIF-Datei kann als Anhang einer Nachricht versandt werden – mit den GIF-Dateien aus WhatsApps eigener Galerie funktioniert das nicht.

Wird die eingeschleuste GIF-Datei in der Messaging-App geöffnet, wird sie zweimal verarbeitet, was eine Remote-Shell aufruft und das Einschleusen und Ausführen von Schadcode aus der Ferne ermöglicht.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet, Mobilgeräte, News, Programmierung, Sicherheit, Soziales, Tipps und Tricks abgelegt und mit , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Ein Kommentar zu Angriff auf WhatsApp mit GIF-Bildern

  1. Pingback: Messenger „Signal“ für EU-Abgeordnete verboten | webwork-magazin.net

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.