darask
New member
В мессенджере WhatsApp устранена серьёзная уязвимость, которая давала возможность любому участнику группового чата вывести из строя мессенджер на устройствах всех других участников этого чата. Отослав в группу специальным образом сделанное сообщение, пользователь способен запустить цепочку отказа в обслуживании, делающую невозможным дальнейшее использование приложения.
Единственное решение проблемы при такой ситуации – переустановка WhatsApp. Но тогда также будут стёрты все сообщения и файлы.
Проблема сотрудниками фирмы Check Point. Они рассказали, что причиной проблемы является реализация в WhatsApp протокола XMPP, выводящая из строя мессенджер, если сообщение в групповой чат отсылает пользователь с невалидным параметром номера телефона.
Во время отправки сообщения, где в качестве параметра participant (получатель) указано значение null, будет возвращено исключение нулевого указателя. Получив невалидный номер телефона, синтаксический анализатор для мобильного номера участника группы обработает входные данные некорректно. Если он получит номер телефона длиной за пределами области значений от 5 до 20 или нечисловой символ, то он прочитает его как null.
Чтобы провести атаку пользователь, состоящий в групповом чате, должен сделать некоторые манипуляции с прочими параметрами, связанными с сообщениями в чате, зашифрованном посредством сквозного шифрования. Для этого он может использовать WhatsApp Web и инструмент для отладки веб-браузера вместе с открытым инструментом для манипуляций с WhatsApp от фирмы Check Point.
Проблема была устранена с выходом версии WhatsApp 2.19.58, которая вышла в сентябре этого года.
Единственное решение проблемы при такой ситуации – переустановка WhatsApp. Но тогда также будут стёрты все сообщения и файлы.
Проблема сотрудниками фирмы Check Point. Они рассказали, что причиной проблемы является реализация в WhatsApp протокола XMPP, выводящая из строя мессенджер, если сообщение в групповой чат отсылает пользователь с невалидным параметром номера телефона.
Во время отправки сообщения, где в качестве параметра participant (получатель) указано значение null, будет возвращено исключение нулевого указателя. Получив невалидный номер телефона, синтаксический анализатор для мобильного номера участника группы обработает входные данные некорректно. Если он получит номер телефона длиной за пределами области значений от 5 до 20 или нечисловой символ, то он прочитает его как null.
Чтобы провести атаку пользователь, состоящий в групповом чате, должен сделать некоторые манипуляции с прочими параметрами, связанными с сообщениями в чате, зашифрованном посредством сквозного шифрования. Для этого он может использовать WhatsApp Web и инструмент для отладки веб-браузера вместе с открытым инструментом для манипуляций с WhatsApp от фирмы Check Point.
Проблема была устранена с выходом версии WhatsApp 2.19.58, которая вышла в сентябре этого года.