Исправлена критическая уязвимость WhatsApp

Специалисты принадлежащего Facebook сервиса WhatsApp исправили критическую уязвимость своего проекта. Она затрагивала мобильные версии сервиса для Android и iOS. Уязвимость была обнаружена исследователями Google Project Zero в августе. Ошибка динамически распределяемой памяти (heap) потенциально позволяла злоумышленникам установить полный контроль над приложением. При этом для эксплуатации уязвимости жертве было достаточно всего лишь ответить на звонок в WhatsApp.

«Ошибка происходила при получении мобильным приложением WhatsApp специально сформированного вредоносного пакета RTP», – пояснила исследователь Google Project Zero Натали Сильванович. RTP – это протокол Realtime Transport Protocol, широко используемый для передачи аудио- и видеофайлов через интернет. Его используют, в частности, Android и iOS-приложения WhatsApp. При этом десктопная версия сервиса не задействует данный протокол, а потому не затронута уязвимостью. Google Project Zero традиционно предоставляет разработчикам 90 дней для исправления обнаруженных проблем, но инженеры WhatsApp справились с задачей существенно быстрее. Исправление для Android-версии было выпущено 28 сентября, для iOS – 3 октября.