Помилку було виправлено як в Android, так і в iOS версії програми, повідомляється в звіті ZDNet.
Помилка була виявлена Наталі Сільванович, яка є дослідником безпеки в дослідницькій групі Google Project Zero з безпеки. Вона також розповіла про помилку в блозі Chromium, яка дозволяла хакерам захопити додаток і згорнути його під час вхідного відеодзвінка.
За словами дослідника, помилка є «помилкою пам’яті в реалізації відеоконференцій». Проблема може виникнути, коли користувач приймає відеодзвінок WhatsApp від шкідливого однорангового вузла, зазначає звіт по ZDNet.
«Пошкодження може відбутися, коли мобільний додаток WhatsApp отримує невірний пакет RTP», – сказала Сільванович в звіті про помилку. По суті, якщо відеодзвінок приходить від зловмисників, вони можуть використовувати помилку, щоб викликати збій.
Відповідь на такий відеодзвінок може поставити під загрозу WhatsApp. Веб-версія програми не схильна до помилки, тому що вона використовує інший протокол WebRTC для відеодзвінків. На Android і iOS WhatsApp використовується те, що називається транспортним протоколом реального часу (RTP) для відеодзвінків, в якому була ця помилка.
Ґрунтуючись на звіті про помилку, після того, як хакер викликає пристрій, а користувач приймає виклик WhatsApp, відбувається збій через кілька секунд. Дослідник також зазначила, що вона «модифікувала цільовий білд Android, щоб відключити призначену для користувача обробку аварійних повідомлень WhatsApp».
У повідомленні в блозі про помилку також зазначається, що проблема була виправлена за допомогою оновлення 28 вересня на Android, в той час як оновлення iOS було випущене 3 жовтня. Тому користувачі, які покладаються на WhatsApp для відеодзвінків і щоденних повідомлень, повинні в ідеалі переконатися, що додаток оновлено до останньої версії, яка гарантує, що воно не буде порушено цією проблемою.
WhatsApp повідомив, що він швидко виправив помилку, щоб вирішити проблему. Також у повідомленні було сказано, що немає ніяких доказів того, що хто-небудь дійсно здійснював таку атаку.
