WhatsApp a publié les détails d’une vulnérabilité de sécurité classée “critique” affectant son application Android qui pourrait permettre aux attaquants de planter à distance des logiciels malveillants sur le smartphone d’une victime lors d’un appel vidéo.
Détails de la faille, suivis comme CVE-2022-36934 avec un indice de gravité attribué de 9,8 sur 10, est décrit par WhatsApp comme un bogue de débordement d’entier. Cela se produit lorsqu’une application tente d’effectuer un processus de calcul mais n’a pas d’espace dans sa mémoire allouée, ce qui provoque le débordement des données et l’écrasement d’autres parties de la mémoire du système avec un code potentiellement malveillant.
WhatsApp n’a pas partagé d’autres détails sur le bogue. Mais la société de recherche en sécurité Malwarebytes a déclaré dans son propre analyse technique que le bogue se trouve dans un composant de l’application WhatsApp appelé “Video Call Handler”, qui, s’il était déclenché, permettrait à un attaquant de prendre le contrôle complet de l’application d’une victime.
Lorsqu’il a été contacté pour commenter, WhatsApp n’a pas immédiatement dit s’il avait des preuves d’exploitation active ou si les vulnérabilités avaient été découvertes en interne.
La vulnérabilité de mémoire critique est similaire à un bogue de 2019, que WhatsApp a finalement reproché au fabricant israélien de logiciels espions NSO Group en 2019 d’avoir utilisé pour cibler les téléphones de 1 400 victimes, dont des journalistes, des défenseurs des droits humains et d’autres civils. L’attaque a exploité un bogue dans la fonction d’appel audio de WhatsApp qui permettait à l’appelant d’implanter un logiciel espion sur l’appareil de la victime, que l’appel ait été répondu ou non.
WhatsApp a également révélé cette semaine les détails d’une autre vulnérabilité, CVE-2022-27492classé “élevé” en gravité à 7,8 sur 10, ce qui pourrait permettre aux pirates d’exécuter un code malveillant sur l’appareil iOS d’une victime après avoir envoyé un fichier vidéo malveillant.
“La manipulation avec une entrée inconnue conduit à une vulnérabilité de corruption de mémoire”, a déclaré Pieter Arntz, chercheur en intelligence chez Malwarebytes. “Pour exploiter cette vulnérabilité, les attaquants devraient déposer un fichier vidéo spécialement conçu sur le messager WhatsApp de l’utilisateur et convaincre l’utilisateur de le lire.”
Les deux failles sont corrigées dans les dernières versions de WhatsApp. Mise à jour aujourd’hui.
