piratage WhatsApp

WhatsApp, propriété de Facebook, a récemment corrigé deux vulnérabilités de sécurité dans son application de messagerie pour Android qui auraient pu être exploitées pour exécuter du code malveillant à distance sur l’appareil et même compromettre les communications cryptées.

Les failles visent les appareils exécutant des versions d’Android jusqu’à et y compris Android 9 en effectuant ce que l’on appelle une attaque “homme-dans-le-disque” qui permet aux adversaires de compromettre une application en manipulant certaines données échangées entre elle. et le stockage externe.

“Les deux vulnérabilités WhatsApp susmentionnées auraient permis aux attaquants de collecter à distance du matériel cryptographique TLS pour les sessions TLS 1.3 et TLS 1.2”, chercheurs de Census Labs mentionné aujourd’hui.

«Avec les secrets TLS à portée de main, nous montrerons comment une attaque de type man-in-the-middle (MitM) peut conduire à la compromission des communications WhatsApp, à l’exécution de code à distance sur l’appareil victime et à l’extraction des clés de protocole Noise utilisées. pour le chiffrement de bout en bout dans les communications des utilisateurs. “

auditeur de mot de passe

En particulier, la faille (CVE-2021-24027) tire parti de la prise en charge de Chrome pour fournisseurs de contenu sous Android (via le schéma d’URL “content: //”) et un contournement de politique de même origine dans le navigateur (CVE-2020-6516), permettant ainsi à un attaquant d’envoyer un fichier HTML spécialement conçu à une victime via WhatsApp, qui, une fois ouvert sur le navigateur, exécute le code contenu dans le fichier HTML.

Pire encore, le code malveillant peut être utilisé pour accéder à toute ressource stockée dans la zone de stockage externe non protégée, y compris celles de WhatsApp, qui a été trouvée pour enregistrer les détails de la clé de session TLS dans un sous-répertoire, entre autres, et par conséquent, exposer des informations sensibles. des informations à toute application configurée pour lire ou écrire à partir du stockage externe.

“Tout ce qu’un attaquant a à faire est d’inciter la victime à ouvrir une pièce jointe HTML”, a déclaré Chariton Karamitas, chercheuse à Census Labs. “WhatsApp rendra cette pièce jointe dans Chrome, via un fournisseur de contenu, et le code Javascript de l’attaquant pourra voler les clés de session TLS stockées.”

Armé des clés, un mauvais acteur peut alors lancer une attaque d’intermédiaire pour réaliser l’exécution de code à distance ou même Protocole de bruit les paires de clés (utilisées pour le chiffrement de bout en bout) recueillies par l’application à des fins de diagnostic en déclenchant délibérément une erreur de mémoire insuffisante à distance sur l’appareil de la victime.

auditeur de mot de passe

Lorsque cette erreur est générée, le mécanisme de débogage de WhatsApp entre en action et téléversements les paires de clés codées ainsi que les journaux d’application, les informations système et tout autre contenu de la mémoire vers un serveur dédié aux journaux de panne (“crashlogs.whatsapp.net”). Mais il convient de noter que cela ne se produit que sur les appareils qui exécutent une nouvelle version de l’application, et “moins de 10 jours se sont écoulés depuis la date de sortie de la version actuelle”.

Alors que le processus de débogage est conçu pour être appelé pour détecter les erreurs fatales dans l’application, l’idée derrière l’exploit MitM est de provoquer par programme une exception qui forcera la collecte de données et déclenchera le téléchargement, uniquement pour intercepter la connexion et “divulguer tout les informations sensibles qui devaient être envoyées à l’infrastructure interne de WhatsApp. “

Pour se défendre contre de telles attaques, Google a introduit une fonctionnalité appelée “stockage limité” dans Android 10, qui donne à chaque application une zone de stockage isolée sur l’appareil de telle sorte qu’aucune autre application installée sur le même appareil ne peut accéder directement aux données enregistrées par d’autres applications. .

La société de cybersécurité a déclaré qu’elle ne savait pas si les attaques avaient été exploitées dans la nature, bien que dans le passé, les failles de WhatsApp aient été abusées pour injecter des logiciels espions sur les appareils cibles et espionner journalistes et militants des droits humains.

Il est recommandé aux utilisateurs de WhatsApp de mettre à jour vers la version 2.21.4.18 pour atténuer le risque associé aux failles. Nous avons contacté la société pour obtenir des commentaires et nous mettrons à jour l’histoire si nous avons de nouvelles.

“Il y a beaucoup plus de sous-systèmes dans WhatsApp qui pourraient être d’un grand intérêt pour un attaquant”, a déclaré Karamitas. «La communication avec les serveurs en amont et la mise en œuvre du cryptage E2E sont deux notables. De plus, malgré le fait que ce travail se concentre sur WhatsApp, d’autres applications de messagerie Android populaires (par exemple Viber, Facebook Messenger), ou même des jeux mobiles peuvent exposer involontairement un surface d’attaque similaire à celle d’adversaires éloignés. »



Leave a Reply