WhatsApp Uygulamasında RCE Saldırısına Neden Olan Zafiyetler Tespit Edildi

WhatsApp, mesajlaşma uygulamasında uzaktan komut yürütülmesine (RCE) ve şifrelenmiş iletişimlerin tehlikeye atılmasına neden olan iki güvenlik zafiyeti tespit edilmiştir. Tehdit aktörleri zafiyetlerden yararlanarak Android cihazları hedef alan ManInTheDisk saldırıları gerçekleştirebilmektedir (CVE-2021-24027, CVE-2020-6516).

Android üzerinde uygulama dosyalarının tutulduğu korumalı alanlar (Sandbox) dışında harici depolama alanı bulunmaktadır. Uygulamalar, Android cihazlar ile bilgisayarlar arasında dosya aktarımı gibi işlemler için harici depolama alanını kullanmaktadır. Yüklü uygulamaların depolama alanına erişimleri için kullanıcı izni gerekmektedir. Bir MITD saldırısı, verileri harici depolama alanı ile yüklü bir uygulama arasında aktarım esnasında yakalanıp, değiştirilmesiyle gerçekleşmektedir.

Söz konusu güvenlik zafiyeti tehdit aktörlerinin TLS 1.3 ve TLS 1.2 oturumları için uzaktan TLS kriptografik malzeme toplamasını mümkün kılmaktadır. İlk olarak tehdit aktörleri hedeflere WhatsApp üzerinden özel hazırlanmış bir HTML dosyası göndermektedir. Ardından bu dosya tarayıcıda açıldığında içerisinde bulunan zararlı kod çalıştırılmaktadır. Yürütülen Javascript kodu, depolanan TLS oturum anahtarlarını ele geçirmektedir. Bununla birlikte Javascript kodu WhatsApp dosyaları da dâhil olmak üzere harici depolama alanında depolanan herhangi bir kaynağa erişmek için kullanılabilmektedir. Oturum anahtarlarına sahip tehdit aktörleri uzaktan kod çalıştırabilmek (RCE) için ortadaki adam (MITM) faaliyetleri gerçekleştirebilmekte veya uçtan uca şifreleme için kullanılan Noise protokolü anahtar çiftlerini sızdırabilmektedir.

Android 9 ve alt sürümlerini etkileyen zafiyet için Google, Android 10 güncellemesi ile “kapsamlı depolama” özelliği getirmiştir. Söz konusu özellik, aynı cihazda yüklü olan herhangi bir uygulamanın diğer uygulamalar tarafından kaydedilen verilere doğrudan erişemeyeceği şekilde izole edilen bir depolama alanı sağlamaktadır. WhatsApp kullanıcılarının, zafiyetlere ilişkin riskin azaltılması adına 2.21.4.18 sürümüne güncelleme yapması tavsiye edilmektedir.

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


    Brandefense ile siber saldırılara karşı önlem alın!