WhatsApp, Instagram, TikTok i 28 000 innych aplikacji z luką zabezpieczeń

WhatsApp, Instagram, TikTok i 28 000 innych aplikacji z luką zabezpieczeń

28 listopada 2019 0 przez Marcin Kaczmarek

Komunikator WhatsApp otrzymał właśnie ważną aktualizację. Programiści załatali w nim lukę zabezpieczeń w obsłudze formatu GIF pozwalającą na przemycenie w nim wykonywalnego kodu. Błąd znajduje się w popularnej bibliotece przetwarzającej animowane obrazy.

Kod android-gif-drawable został zastosowany w ponad 28 000 aplikacji. Wśród nich znajduje się oprogramowanie używane przez miliardy osób na całym świecie, takie jak na przykład należący do Facebooka komunikator WhatsApp czy aplikacja społecznościowa Instagram.

Wśród oprogramowania dotkniętego luką znajdują się także aplikacje mające po kilku użytkowników, programy specjalistyczne oraz oprogramowanie dołączane do sprzętu przez producentów. Biblioteka android-gif-drawable znajduje się między innymi w programach Lenovo.

Pełna lista aplikacji korzystających z niebezpiecznego kodu została opublikowana przez amerykański CERT. Dla bezpieczeństwa warto porównać ją z oprogramowaniem zainstalowanym na smartfonie i w razie odnalezienia potencjalnie zagrożonych programów przestać z nich korzystać do czasu pojawienia się naprawionej wersji.

Przestępcy mogą przygotować specjalny plik GIF, który oprócz informacji graficznych będzie zawierać także kod wykonywalny. Luka zabezpieczeń w android-gif-drawable sprawia, że podczas wyświetlania obrazka może on zostać uruchomiony, co może pozwolić hakerom na przejęcie kontroli nad smartfonem i zainstalowanie na nim oprogramowania szpiegowskiego.

Szczególną ostrożność powinni zachować użytkownicy telefonów służbowych, z których wykraść można nie tylko dane logowania do systemów przedsiębiorstwa, lecz także poufne dokumenty handlowe, które mogą zostać potem sprzedane na czarnym rynku.

CERT opracował i przekazał twórcom biblioteki android-gif-drawable niezbędne poprawki eliminujące lukę zabezpieczeń. Po zaimplementowaniu ich do kodu stanie się ona odporna na ataki, a twórcy aplikacji będą musieli tylko pamiętać, żeby podczas kompilowania nowej wersji swojego produktu użyć załatanej wersji.

Problem polega na tym, że spora część aplikacji raczej nie doczeka się takiej aktualizacji, nawet jeśli jest w dalszym ciągu rozwijana. Ich twórcy mogą po prostu nie zdawać sobie sprawy, że narażają użytkowników na duże niebezpieczeństwo.