WhatsApp a connu une faille de sécurité “critique” sur Android

WhatsApp a corrigé une faille de sécurité qui touchait les données des téléphones Android durant les appels vidéo. Il est fortement conseillé de mettre l’application à jour.

WhatsApp a publié les détails d’une faille de sécurité de niveau jugé « critique » affectant son application sur Android. Cette faille, à présent corrigée dans la dernière version de WhatsApp, qu’il convient de mettre à jour, permettait aux malfaiteurs d’installer à distance un logiciel malveillant sur le smartphone d’une victime pendant un appel vidéo.

Techniquement, WhatsApp analyse le bug de la manière suivante: le logiciel malveillant a tenté d’effectuer un processus de calcul sans avoir d’espace suffisant dans la mémoire qui lui est allouée, ce qui entraîne le débordement des données et l’écrasement d’autres parties de la mémoire du système avec du code potentiellement malveillant.

Joshua Breckman, porte-parole de WhatsApp, a déclaré à TechCrunch que les bugs ont été découverts en interne et que l’entreprise n’a vu « aucune preuve d’exploitation ».

Bug dans un composant de l’application

WhatsApp n’a pas donné de détails supplémentaires sur le bug. Mais la société de recherche en sécurité Malwarebytes a déclaré dans sa propre analyse technique que le bug se trouve dans un composant de l’application WhatsApp appelé « Video Call Handler », qui, s’il est déclenché, permettrait à un attaquant de prendre le contrôle complet de l’application d’une victime.

Cette intrusion est similaire à un bug de 2019, que WhatsApp a finalement attribué au fabricant israélien de logiciels espions NSO Group pour cibler les téléphones de 1400 victimes, dont des journalistes, des défenseurs des droits de l’homme et d’autres civils.

L’attaque avait également exploité un bug dans les appels audio de WhatsApp qui permettait à l’appelant d’implanter un logiciel espion sur l’appareil d’une victime.