パッチが適用されたWhatsAppの脆弱性により、ユーザーデータが公開される可能性があります

Check Pointのセキュリティ研究者は最近、WhatsApp内に存在する脆弱性に関する情報を公開しました。この脆弱性は、機密ユーザー情報への不正アクセスを取得するために悪用された可能性があります。その後、この問題はWhatsAppによってパッチが適用され、アプリケーションの現在のバージョンには影響しませんが、CheckPointはちょうど今それに関する完全なレポートを公開しました。

問題の問題はCVE-2020-1910として成文化されており、7.8という高い基本スコアが割り当てられています。これは、Check Pointの研究者によって、範囲外の読み取り/書き込みバグとして説明されています。レポートには、脆弱性がどの程度正確に悪用された可能性があるかについての詳細が記載されています。

バグは、WhatsApp画像フィルターツールの使用を中心に展開しています。悪用可能な脆弱性を取り巻く手順と状況は少し複雑ですが、テストで簡単に再現できます。

ユーザーが悪意のあるアクターによって送信された添付ファイル画像を開き、悪意のある方法で修正されたファイル（たとえば、不正な形式のgif）が含まれている場合、アプリケーションの画像フィルターの1つを適用し、最終的に画像を送り返すと、データの公開に。

アプリケーションは、元の画像と宛先の画像を操作するときに形式チェックを行わないため、不正な形式の画像ファイルを使用すると、だまされてクラッシュする可能性があります。

この問題は、早くも2020年11月にCheck Pointによって報告され、2021年初頭に発行された同社のセキュリティアドバイザリーレポートで言及されたWhatsAppによって長い間パッチが適用されてきました。

この脆弱性は、所有しているデバイスに保持しているすべてのアプリケーションを最新バージョンに更新しておくことの重要性を浮き彫りにします。アプリがWhatsAppと同じくらい人気があり、世界中に数十億のユーザーがいる場合、 犯罪者が同様の問題やゼロデイ脆弱性を悪用し、アプリケーションのユーザーベースのごく一部からでも膨大な量のデータを収集する可能性があります。

脆弱性CVE-2020-1910は、バージョン2.21.2.13以降のWhatsAppで修正されています。