Volgens Natalie Silvanovich, een onderzoeker bij Googles Project Zero-beveiligingsteam, heeft WhatsApp een lek in zijn apps voor Android en iOS gedicht, dat tot een crash kon leiden na het ontvangen van een oproep door een aanvaller.

Silvanovich beschrijft haar bevindingen in een vermelding op de bugtracker van Project Zero. Daar schrijft ze in een update dat WhatsApp op 28 september een patch heeft uitgebracht voor Android en op 3 oktober voor iOS. Ze stelt dat een kwaadaardige beller in staat was om op afstand een crash van WhatsApp teweeg te brengen in de client van een doelwit door gebruik te maken van een bepaald rtp-pakket. Het ontvangen van dat pakket leidt volgens de onderzoeker tot heap corruption.

Ze heeft geen poging gedaan om haar ontdekking om te zetten in een exploit, schrijft ze op Twitter. Daar vermeldt ze wel dat het lek wel 'veel potentie' heeft. Ze geeft geen informatie over de vraag of de kwetsbaarheid het bijvoorbeeld mogelijk maakte om op afstand code uit te voeren. Project Zero-collega Tavis Ormandy stelt in een eigen tweet dat het om een ernstig lek gaat dat alleen vereist dat een aanvaller een oproep plaatst.

Reacties mogelijk gemaakt door CComment