WhatsAppは、攻撃者が特別に細工された画像を使用したプライベートメッセージなど、アプリのメモリから機密情報を読み取る可能性がある脆弱性にパッチを適用しました。この脆弱性は、サイバーセキュリティ会社のCheck Point ResearchによってWhatsAppに報告されており、WhatsApp forAndroidおよびWhatsAppBusiness for Androidの画像フィルター機能内に存在し、ユーザーが画像にフィルターを追加できるようになっています。 Facebookが所有する会社は、Check Pointの研究者によって報告され、脆弱性が悪用されたという証拠はないと主張した後、セキュリティの問題を修正しました。
「範囲外の読み取り/書き込みの脆弱性」と呼ばれるこの問題は、2020年11月10日にCheck Point ResearchによってWhatsAppに開示されました。WhatsAppはバグの修正に時間がかかり、2月にパッチを発行しました。これは、WhatsApp forAndroidとWhatsAppBusiness forAndroidアプリの両方のバージョン2.21.1.13を通じてエンドユーザーに提供されました。
Check Point Researchの研究者は、WhatsAppがプラットフォーム上で画像を処理および送信する方法を調べているときに、技術的にはメモリ破損の問題である脆弱性を発見することができました。調査中に、メッセージングアプリの画像フィルター機能が、特別に設計されたGIFファイルで使用されたときにクラッシュすることが判明しました。それは彼らが抜け穴を見つけることができたところから研究者をもたらしました。
Check Point Researchによると、この脆弱性は、ユーザーが悪意を持って作成された画像ファイルを含む添付ファイルを開き、フィルターを適用しようとした後、フィルターが適用された画像を攻撃者に送り返すことで引き起こされる可能性があります。したがって、研究者たちは、ハッカーがこの問題を悪用するには「複雑な手順と広範なユーザー操作」が必要であると指摘しました。
ただし、悪用される可能性がある場合、この脆弱性により、ハッカーはプライベートメッセージや以前に共有された画像やビデオなどの機密情報をWhatsAppメモリから読み取ることができると主張されています。
「セキュリティの脆弱性を発見したら、すぐにその結果をWhatsAppに報告しました。WhatsAppは修正の発行に協力的で協力的でした。私たちの総力を結集した結果、世界中のユーザーにとってより安全なWhatsAppが実現しました」と、チェックポイントの製品脆弱性調査責任者であるOdedVanunu氏は準備された声明の中で述べています。