Petteri Pyyny
18. marraskuuta, 2019 13:03
WhatsAppista on löytynyt erittäin kriittinen tietoturva-aukko, jonka avulla hyökkääjät voivat kaapata käyttäjän puhelimen hallintaansa ilman että käyttäjä edes tietää puhelimensa saastuneen.
Asiasta tiedotti Facebook, joka omistaa WhatsAppin. Ongelma liittyy WhatsAppin videotoistoon ja tarkemmin sanottuna muistin ylivuoto-ongelmaan sen sisäisessä MP4-videoiden toistossa.
Hyökkääjä voi luoda tarkoitusta varta vasten räätälöidyn MP4-videotiedoston ja lähettää sen valitsemalleen uhrille. Kun uhri avaa videotiedoston, video toistuu normaalisti ja mitään epäilyttävää ei vaikuttaisi tapahtuvan. Videon meta-tiedoissa oleva ongelma aiheuttaa kuitenkin sovelluksessa muistin ylivuodon, jonka kautta hyökkääjä voi päästä ajamaan omaa ohjelmakoodiaan kohteen puhelimessa.
Aukkoa käyttämällä kohde ei välttämättä tiedä koskaan että hänen laitteellaan on ajettu luvatonta koodia - mutta puhelin voi olla jo valjastettu mm. palveluestohyökkäysten käyttöön tai roskapostin lähteeksi.
Facebook on julkaissut päivityksen sekä Androidille, iPhonelle että Windows Phonelle WhatsAppista, joka korjaa kyseisen aukon.
WhatsAppin versiot, joista kyseinen turvallisuusaukko löytyy ovat:
Joten, hopi hopi, sovelluskauppaan päivittämään WhatsApp uuteen versioon!