WhatsApp permitirá ativação sem receber SMS no iPhoneComo esconder conversas no WhatsApp
Tudo começa com o envio de um arquivo GIF preparado para explorar a vulnerabilidade em questão. Essa imagem pode ser enviada por qualquer canal, por exemplo, a função de compartilhamento de documentos do WhatsApp. O importante é que o arquivo seja salvo no celular. Se o invasor (ou um amigo com celular previamente comprometido, por exemplo) estiver na lista de contatos do usuário, esse arquivo será baixado automaticamente. Depois, quando a vítima abrir a galeria de imagens a partir do WhatsApp, a falha vai ser explorada, mesmo que o GIF não seja selecionado.
Isso porque o aplicativo executa uma pré-visualização do conteúdo quando a galeria é aberta e, no caso de GIFs, aciona uma biblioteca de nome libpl_droidsonroids_gif.so para iniciá-la. Pois bem, a falha está nesse componente. Quando explorada, a vulnerabilidade pode corromper o conteúdo da memória. O que acontece depois depende das intenções do invasor. Aplicativos podem deixar de funcionar corretamente ou o conteúdo do aparelho pode ser acessado remotamente por terceiros, por exemplo. Aparentemente, a falha pode ser explorada apenas em smartphones com Android 8.1 e 9.0. A boa notícia é que a vulnerabilidade foi corrigida a partir da versão 2.19.244 do WhatsApp, liberada no começo de setembro. Em nota, o Facebook reconheceu o bug, mas disse que o problema foi solucionado rapidamente, portanto, “não tem razões para acreditar que a vulnerabilidade tenha afetado usuários”. Awakened explicou a falha em detalhes nesta página no GitHub. Com informações: The Next Web.