Το WhatsApp αποκαλύπτει κρίσιμα τρωτά σημεία σε παλαιότερες εκδόσεις εφαρμογών που επιτρέπουν στους εισβολείς να εκμεταλλεύονται τηλέφωνα μέσω βιντεοκλήσης

Το WhatsApp, η υπηρεσία άμεσων μηνυμάτων και κλήσεων της Meta, δημοσίευσε λεπτομέρειες για μια «κρίσιμη» ευπάθεια που έχει διορθωθεί σε μια νεότερη έκδοση της εφαρμογής, αλλά ενδέχεται να επηρεάσει παλαιότερες εγκατεστημένες εκδόσεις που δεν έχουν ενημερωθεί.

Οι λεπτομέρειες σχετικά με την ευπάθεια ήταν αποκάλυψε σε μια ενημέρωση Σεπτεμβρίου της σελίδας του WhatsApp σχετικά με τις συμβουλές ασφαλείας που επηρεάζουν την εφαρμογή και ήρθε στο φως στις 23 Σεπτεμβρίου.

Το WhatsApp, στην ενημέρωση, μοιράστηκε ένα λεπτομερές ζήτημα που σχετίζεται με την ευπάθεια CVE-2022-36934, σύμφωνα με το οποίο «μια υπερχείλιση ακέραιου αριθμού στο WhatsApp για Android πριν από την έκδοση 2.22.16.12, Business for Android πριν από την έκδοση 2.22.16.12, iOS πριν από την έκδοση 2.22.16.12, Business for iOS πριν από την έκδοση 2.22.16.12 θα μπορούσε να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα σε μια καθιερωμένη βιντεοκλήση."

Σύμφωνα με τις λεπτομέρειες, το σφάλμα θα επέτρεπε σε έναν εισβολέα να εκμεταλλευτεί την υπερχείλιση ακέραιου αριθμού, μετά την οποία θα μπορούσε να αποκτήσει πρόσβαση για να εκτελέσει τον δικό του κώδικα στο smartphone του θύματος μέσω μιας ειδικά κατασκευασμένης βιντεοκλήσης.

Αυτή η ευπάθεια έχει βαθμολογηθεί με βαθμό σοβαρότητας 9.8 στα 10 στην κλίμακα CVE.

Στην ίδια συμβουλευτική ενημέρωση ασφαλείας, το WhatsApp εξήγησε επίσης μια άλλη ευπάθεια, το CVE-2022-27492. Σύμφωνα με την εταιρεία μέσων κοινωνικής δικτύωσης, «μια υποροή ακέραιου αριθμού στο WhatsApp για Android πριν από την έκδοση 2.22.16.2, WhatsApp για iOS v2.22.15.9 θα μπορούσε να έχει προκαλέσει απομακρυσμένη εκτέλεση κώδικα κατά τη λήψη ενός δημιουργημένου αρχείου βίντεο».

Τούτου λεχθέντος, το σφάλμα θα επέτρεπε στους εισβολείς να εκτελέσουν τον κώδικα στο smartphone του θύματος χρησιμοποιώντας ένα κακόβουλο αρχείο βίντεο. Η ευπάθεια βαθμολογήθηκε με 7.8 στα 10.

Σε μια εξέλιξη που σχετίζεται με την Ινδία για την πλατφόρμα κοινωνικής δικτύωσης, ο επικεφαλής της επιχείρησης πληρωμών του WhatsApp στην Ινδία, Manesh Mahatme, παραιτήθηκε μετά από περισσότερο από ένα χρόνο με την εταιρεία που ανήκει στην Meta Platforms για να ενταχθεί στην Amazon India, δήλωσε πηγή στο Reuters την Πέμπτη.

Η έξοδος του Mahatme έρχεται σε μια κρίσιμη στιγμή για το WhatsApp, το οποίο επιδιώκει να ενισχύσει την υπηρεσία πληρωμών του σε μια άκρως ανταγωνιστική αγορά και να κλειδώσει με πιο καθιερωμένους παίκτες όπως το Google Pay της Alphabet, το Paytm που υποστηρίζεται από την Ant Group και το PhonePe της Walmart.

Κατά τη διάρκεια της θητείας του στο WhatsApp Pay, η εταιρεία κέρδισε ρυθμιστική έγκριση για να υπερδιπλασιάσει τις πληρωμές της σε 100 εκατομμύρια χρήστες στην Ινδία, τη μεγαλύτερη αγορά της με περισσότερους από μισό δισεκατομμύριο χρήστες συνολικά.