WhatsApp paljastaa kriittisiä haavoittuvuuksia vanhemmissa sovellusversioissa, joiden avulla hyökkääjät voivat hyödyntää puhelimia videopuhelun kautta

WhatsApp, Metan pikaviesti- ja puhelupalvelu, on julkaissut tiedot "kriittisestä" haavoittuvuudesta, joka on korjattu sovelluksen uudempaan versioon, mutta joka saattaa silti vaikuttaa vanhoihin asennettuihin versioihin, joita ei ole päivitetty.

Yksityiskohdat haavoittuvuudesta olivat paljasti WhatsApp-sivun syyskuun päivityksessä sovellukseen vaikuttavista turvallisuusneuvoista, ja se tuli julkisuuteen 23. syyskuuta.

Päivityksen WhatsApp jakoi haavoittuvuuteen CVE-2022-36934 liittyvän yksityiskohtaisen ongelman, jonka mukaan "kokonaislukujen ylivuoto WhatsApp for Androidissa ennen v2.22.16.12, Business for Android ennen v2.22.16.12, iOS Ennen versiota 2.22.16.12, Business for iOS:lle versiota 2.22.16.12 edeltävä versio saattaa johtaa koodin etäsuorittamiseen muodostetussa videopuhelussa."

Yksityiskohtien mukaan bugi antaisi hyökkääjän hyödyntää kokonaislukujen ylivuotoa, minkä jälkeen he pääsevät suorittamaan omaa koodiaan uhrin älypuhelimella erityisesti muodostetun videopuhelun kautta.

Tämä haavoittuvuus on saanut vakavuusluokituksen 9.8/10 CVE-asteikolla.

Samassa tietoturvapäivityksessä WhatsApp selitti myös toisen haavoittuvuuden, CVE-2022-27492. Sosiaalisen median yrityksen mukaan "kokonaislukujen alivuoto WhatsApp for Androidissa ennen versiota 2.22.16.2, WhatsApp for iOS v2.22.15.9 on voinut aiheuttaa koodin etäsuorittamisen muokatun videotiedoston vastaanottamisen yhteydessä."

Tämä sanoi, että bugi antaisi hyökkääjät suorittaa koodin uhrin älypuhelimessa käyttämällä haitallista videotiedostoa. Haavoittuvuus sai arvosanaksi 7.8/10.

Intiaan liittyvässä sosiaalisen median alustan kehittämisessä WhatsAppin Intian maksuliiketoiminnan johtaja Manesh Mahatme on eronnut yli vuoden jälkeen Meta Platformsin omistamasta yrityksestä liittyäkseen Amazon Indiaan, lähde kertoi Reutersille torstaina.

Mahatmen irtautuminen tulee kriittisellä hetkellä WhatsAppille, joka pyrkii tehostamaan maksupalveluaan erittäin kilpailluilla markkinoilla ja lukitsemaan sarvet vakiintuneempien pelaajien, kuten Alphabetin Google Payn, Ant Groupin tukeman Paytmin ja Walmartin PhonePen, kanssa.

Työnsä aikana WhatsApp Payssa yritys sai viranomaishyväksynnän yli kaksinkertaistaa maksutarjouksensa 100 miljoonalle käyttäjälle Intiassa, sen suurimmalla markkina-alueella, jossa on kaikkiaan yli puoli miljardia käyttäjää.