●概述：
全球約15億用戶的WhatsApp Messenger，每日650億條訊息量，為了在智慧型手機跨平台傳送簡訊、檔案、圖片、影音，使用protobuf2點對點加密協定，任職Google Project Zero的研究員Natalie Silvanovich，公開proof-of-concept探勘技術資料，證實WhatsApp在iOS和Android的app，具有記憶體堆疊溢位瑕疵，癥結在於WhatsApp Messenger透過即時傳輸協定(Real-time Transport Protocol：RTP)傳送影音串流，駭客僅須掌握受害者電話門號，待受害者回應惡意視訊電話，即可觸發該嚴重弱點，輕則造成當機，重則接管受害者WhatsApp帳號，官方已於一周前陸續修補WhatsApp(適用iOS與Android)，至於WhatsApp網頁版則無相關風險。
●編註：
(1)入侵手法
本次所討論的WhatsApp行動裝置版破綻，屬memory heap overflow類型，首先強調其關鍵在即時傳輸協定(Real-time Transport Protocol)，縮寫RTP，由於WhatsApp在iOS和Android的app皆經RTP傳送影音流量，故該漏洞僅干擾行動電話之WhatsApp版本，對WhatsApp網頁版並無威脅。
據PoC資料，攻擊者趁呼叫buffer保護之前，攔截記憶體存取權，竄改RTP緩衝區，若對Android手機發動探勘，則是將惡意附檔寫入/data/data/com.whatsapp/libn.so，操縱/data/data/com.whatsapp/files資料夾，待WhatsApp重啟後，接通來電即可發生crash狀況，由於公開技術有所保留，僅做到當機程度，實際上攻擊程式可改編成更具破壞力，讓受害者接起視訊會議來電後，WhatsApp帳號旋即遭駭客監控接管。

(2)簡述Real-time Transport Protocol
網路傳輸協定之一Real-time Transport Protocol(RTP)，中文為即時傳輸協定，RTP協定詳述網際網路上音訊、影片傳遞的標準封包格式，初始設計為多播協定，隨後應用於很多單播實務中，RTP常用於串流媒體系統、視訊會議、一鍵通(Push to Talk)，故已成為IP電話產業技術基礎。