• 發布單位:TWCERT/CC
• 更新日期:2020-05-20
• 點閱次數:1884

一位獨立資安研究人員發現 WhatsApp Android 版 App 存有嚴重安全漏洞，可能導致用戶的 Android 手機遭到駭侵者全面控制。

報告指出在 Android 8.1 和 9.0 版上的 WhatsApp 存有此一漏洞，可讓駭侵者遠端執行任意程式碼；攻擊者可先傳送一張惡意 GIF 檔，當用戶在 WhatsApp 的相片圖庫時，就會觸發 double-free 錯誤並導致可遠端執行任意程式碼。

iOS 版的 WhatsApp 沒有這個問題。

這個代號為 Awakened 的資安研究員，在數周前將此發現提報給 Facebook。他也製作了一段示範影片。

影片中可以看到駭侵者利用這個漏洞，取得手機的 root 權限，並可存取手機上的任何檔案；目前 WhatsApp 已在 2.19.244 後的版本修補了這個漏洞。
 

• CVE編號：CVE-2019-11932
• 影響產品(版本)：WhatsApp Android 版 App 2.19.244 之前版本
• 解決方案：升級至 2.19.244 之後的 WhatsApp 版本。