В мессенджере Facebook WhatsApp исправили уязвимость, позволявшую злоумышленникам захватывать контроль над приложением, когда пользователь отвечает на входящий видеозвонок.
Проблема была обнаружена в августе исследователем безопасности из Google Project Zero. Эксперт описала уязвимость как «ошибку повреждения памяти в реализации видеоконференции, не связанной с WebRTC». По ее словам, вызвать повреждение динамически распределяемой памяти (кучи) можно путем отправки мобильному приложению WhatsApp особым образом сконфигурированного пакета RTP. То есть, уязвимость можно проэксплуатировать, заставив жертву ответить на видеозвонок, пишет securitylab.ru.
Отмечается, что проблема затрагивала только версии WhatsApp для Android- и iOS-устройств. Десктопная версия мессенджера не подвержена уязвимости, так как для видеозвонков используется WebRTC.
Разработчики мессенджера исправили проблему на этой неделе.