Signalé à Facebook il y a quelques semaines par un chercheur appelé ‘Awakened‘, le problème critique (CVE-2019-11932) concerne les utilisateurs des versions Android de l’application, notamment les versions 8.1 et 9.0, mais pas apparemment la version 8.0 (l’iOS d’Apple ne semble pas être affecté).
Cette faille WhatsApp est décrite comme étant une vulnérabilité de type ‘double-free’ (libération d’une variable deux fois de suite) au niveau de la mémoire située dans une bibliothèque de prévisualisation d’image WhatsApp appelée libpl_droidsonroids_gif.so, mais certains aspects de sa potentielle utilisation ne sont pas encore clairs.
Le chercheur a déclaré qu’une attaque impliquerait d’abord l’envoi d’une image GIF malveillante par n’importe quel canal, par courrier électronique, via une application de messagerie concurrente ou directement par WhatsApp.
Si WhatsApp est en cours d’utilisation et que l’attaquant (ou le malheureux intermédiaire) figure dans la liste des contacts de l’utilisateur en tant qu’ami, ce GIF serait apparemment téléchargé automatiquement sur l’appareil.
Le lancement de l’attaque, à proprement parlé, semble avoir lieu lorsque le destinataire ouvre ensuite la Galerie WhatsApp, même si aucun fichier n’a été sélectionné ou envoyé. Selon Awakened :
Comme WhatsApp affiche des aperçus de tous les médias (y compris ce fichier GIF reçu), le bug double-free et notre exploit RCE seront déclenchés.
Pour appuyer son explication, Awakened a publié une vidéo montrant la séquence d’événements se déroulant sur WhatsApp v2.19.203.
Cette vidéo montre l’exploit fournissant à un attaquant un reverse shell complet avec un accès root et total à tous les fichiers de ce périphérique, à sa carte SD et à ce qui semble être la base de données des messages WhatsApp.
Comme toutes les vulnérabilités mobiles, celle-ci revient à offrir les clés du coffre-fort. Le rapport de TNW cite un employé de Facebook qui a répondu :
Elle a été signalée et rapidement traitée le mois dernier. Nous n’avons aucune raison de croire qu’elle a affecté les utilisateurs, bien que nous travaillions toujours pour offrir les dernières fonctionnalités de sécurité à nos utilisateurs.
L’entreprise a également affirmé que l’exploit nécessitait que l’utilisateur envoie lui-même un fichier GIF malveillant, ce qui est contesté par Awakened. Après avoir étudié la preuve de concept vidéo, il semble plus probable qu’Awakened ait raison.
Faut-il s’inquiéter?
En supposant que les utilisateurs des versions Android concernées aient été mis à jour récemment, cela devrait se faire automatiquement via le Play Store, la réponse est non.
La version 2.19.244 de la messagerie chiffrée, sortie début septembre, corrige cette faille WhastApp.
Ce qui est plus gênant, c’est qu’une telle chose soit possible tout simplement. Les exploits au niveau d’applications et permettant aux attaquants de contrôler un appareil mobile ne sont pas monnaie courante sur le terrain, et ce même si WhatsApp a été victime d’étranges failles de sécurité ces derniers temps.
Celles-ci incluent le signalement du mois de mai concernant une vulnérabilité de type “zero-day” qu’un “cyberacteur avancé” exploitait pour espionner un groupe bien précis d’utilisateurs WhatsApp.
Un bug encore plus déconcertant semble être la faille découverte en octobre 2018 par Google, qui aurait pu être utilisée pour compromettre un périphérique Android ou l’iPhone d’un utilisateur en leur demandant simplement de répondre à un appel.
La plupart des 1,5 milliard d’utilisateurs de WhatsApp ont choisi ce logiciel en raison de sa confidentialité et de sa sécurité. Ces failles rappellent que la liste des fonctionnalités ne signifie pas une absence totale de vulnérabilités.
Billet inspiré de WhatsApp vulnerability could compromise Android smartphones, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.