- Регистрация
- 22 Фев 2019
- Сообщения
- 1,191
- Баллы
- 0
- Веб-сайт
- opencard.pw
- Общие продажи
- 0$
- Общие покупки
- 0$
В WhatsApp исправлена опасная уязвимость, позволяющая любому участнику группового чата вывести из строя мессенджер на устройствах всех остальных участников. Отправив в группу особым образом сконфигурированное сообщение, злоумышленник может запустить петлю отказа в обслуживании, делающую невозможным дальнейшее пользование приложением.
Единственное решение проблемы в таком случае – удалить WhatsApp и установить заново. Однако тогда также будет удалена вся переписка и файлы.
Уязвимость исследователями компании Check Point. По их словам, причиной проблемы является реализация в WhatsApp протокола XMPP, «ломающая» приложение, когда сообщение в групповой чат отправляет участник с недействительным номером телефона.
При отправке сообщения, где в качестве параметра ‘participant’ (‘получатель’) указано значение ‘null’, будет возвращено исключение нулевого указателя. Получив недействительный номер телефона, синтаксический анализатор для телефонного номера участника группы обработает входные данные неправильно. Если синтаксический анализатор получит номер телефона длиной за пределами области значений от 5 до 20 или нечисловой символ, то он прочитает его как ‘null’.
Для осуществления атаки участник группового чата должен осуществлять манипуляции с другими параметрами, связанными с сообщениями в чате, зашифрованном с помощью сквозного шифрования. Для этого атакующий может воспользоваться WhatsApp Web и инструментом для отладки web-браузера в паре с открытым инструментом для манипуляций с WhatsApp от компании Check Point.
Уязвимость была исправлена в версии WhatsApp 2.19.58, выпущенной в сентябре нынешнего года.
Единственное решение проблемы в таком случае – удалить WhatsApp и установить заново. Однако тогда также будет удалена вся переписка и файлы.
Уязвимость исследователями компании Check Point. По их словам, причиной проблемы является реализация в WhatsApp протокола XMPP, «ломающая» приложение, когда сообщение в групповой чат отправляет участник с недействительным номером телефона.
При отправке сообщения, где в качестве параметра ‘participant’ (‘получатель’) указано значение ‘null’, будет возвращено исключение нулевого указателя. Получив недействительный номер телефона, синтаксический анализатор для телефонного номера участника группы обработает входные данные неправильно. Если синтаксический анализатор получит номер телефона длиной за пределами области значений от 5 до 20 или нечисловой символ, то он прочитает его как ‘null’.
Для осуществления атаки участник группового чата должен осуществлять манипуляции с другими параметрами, связанными с сообщениями в чате, зашифрованном с помощью сквозного шифрования. Для этого атакующий может воспользоваться WhatsApp Web и инструментом для отладки web-браузера в паре с открытым инструментом для манипуляций с WhatsApp от компании Check Point.
Уязвимость была исправлена в версии WhatsApp 2.19.58, выпущенной в сентябре нынешнего года.
