bug WhatsApp baru memungkinkan terjadi crash pada aplikasi

WhatsApp, aplikasi pesan terenkripsi end-to-end paling populer di dunia, menambal bug perangkat lunak yang membuat frustasi yang bisa membuat anggota grup jahat merusak aplikasi pesan untuk semua anggota grup yang sama

Hanya dengan mengirim pesan jahat ke grup yang ditargetkan, penyerang dapat memicu loop-loop WhatsApp yang sepenuhnya merusak, memaksa semua anggota grup untuk menghapus aplikasi sepenuhnya, menginstal ulang, dan menghapus grup untuk mendapatkan kembali fungsi normal.

Karena anggota grup tidak dapat secara selektif menghapus pesan jahat tanpa membuka jendela grup dan memicu kembali loop-crash, mereka harus kehilangan seluruh riwayat obrolan grup, tanpa batas waktu, untuk menghilangkannya.

Ditemukan oleh para peneliti di perusahaan cybersecurity Israel Check Point , bug terbaru berada dalam implementasi WhatsApp tentang protokol komunikasi XMPP yang membuat crash aplikasi ketika anggota dengan nomor telepon yang tidak valid menjatuhkan pesan dalam grup.

“Ketika kami mencoba mengirim pesan di mana parameter ‘peserta’ menerima nilai ‘nol,’ ‘Null Pointer Exception’ dilemparkan,” para peneliti menjelaskan dalam sebuah laporan

 

“Pengurai untuk nomor telepon peserta salah menangani input ketika nomor telepon ilegal diterima. Ketika menerima nomor telepon dengan panjang, tidak di ranger 5-20 atau karakter non-digit, itu akan membacanya sebagai ‘ string nol ‘. “

Untuk dicatat, masalah ini ada di WhatsApp untuk Android dan iOS, tetapi dalam sebuah wawancara, peneliti Check Point Roman Zaikin mengkonfirmasi bahwa eksploitasi bekerja dengan lancar terhadap semua pengguna Android yang rentan, tetapi terkadang tidak mereproduksi di iOS .

Serangan itu membutuhkan anggota grup jahat untuk memanipulasi parameter lain yang terkait dengan pesan dalam percakapan yang jika tidak dilindungi menggunakan enkripsi ujung ke ujung.

Untuk melakukan serangan ini, penyerang dapat memanfaatkan WhatsApp Web dan alat debugging browser web dalam kombinasi dengan alat manipulasi WhatsApp sumber terbuka yang Check Point dirilis tahun lalu.

manipulasi alat WhatsApp adalah ekstensi untuk Burp Suite software pengujian penetrasi yang memungkinkan pengguna untuk mencegat, mendekripsi, dan re-mengenkripsi komunikasi WhatsApp mereka menggunakan kunci enkripsi mereka sendiri.

Seperti yang ditunjukkan dalam demonstrasi video, para peneliti menggunakan pengaturan ini untuk memicu bug mogok terhadap semua anggota grup dengan hanya mengganti parameter peserta dari nomor telepon pengirim ke ‘a@s.whatsapp.net,’ non-digit yang tidak valid nomor telepon.

“Bug itu akan merusak aplikasi, dan itu akan terus macet bahkan setelah kami membuka kembali WhatsApp, menghasilkan loop kerusakan,” kata para peneliti.

 

“Selain itu, pengguna tidak akan dapat kembali ke grup dan semua data yang ditulis dan dibagikan dalam grup sekarang hilang untuk selamanya. Grup tidak dapat dipulihkan setelah kerusakan terjadi dan harus dihapus agar dapat untuk menghentikan kecelakaan itu. “

 

Bug Kerusakan WhatsApp

Perlu dicatat bahwa serangan itu tidak akan mempengaruhi pengirim karena pesan jahat disuntikkan dalam perjalanan setelah meninggalkan perangkat pengirim.

Check Point  bertanggung jawab melaporkan bug kerusakan ini kepada tim keamanan WhatsApp pada akhir Agustus tahun ini, dan perusahaan menambal masalah dengan rilis WhatsApp versi 2.19.58 pada pertengahan September.

Pengembang WhatsApp juga “menambahkan kontrol baru untuk mencegah orang ditambahkan ke grup yang tidak diinginkan untuk menghindari komunikasi dengan pihak yang tidak dipercaya sama sekali.”

“Karena WhatsApp adalah salah satu saluran komunikasi terkemuka di dunia untuk konsumen, bisnis, dan lembaga pemerintah, kemampuan untuk menghentikan orang menggunakan WhatsApp dan menghapus informasi berharga dari obrolan grup adalah senjata yang ampuh untuk aktor jahat,” Oded Vanunu, Kepala Produk Check Point Kata Kerentanan Penelitian.

Pengguna WhatsApp sangat disarankan untuk selalu memperbarui aplikasi untuk melindungi diri dari serangan yang diketahui.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *