พบช่องโหว่บน Whatsapp แค่รับสายแอปก็ค้างได้ แนะผู้ใช้ควรอัปเดต

Natalie Silvanovich นักวิจัยจาก Google Project Zero ได้รายงานพบช่องโหว่บน Whatsapp ที่ทำให้เครื่องของเหยื่อค้างได้เพียงแค่รับสายเท่านั้น นอกจากนี้ช่องโหว่ยังเกิดกับแอปพลิเคชันบน Android และ iOS

ในรายงานกล่าวว่า “เกิดจาก Heap Overflow (Memory แบ่งเป็น Stack กับ Heap) เมื่อแอปพลิเคชันได้รับแพ็กเก็ต RTP ที่ไม่ปกติ” และ “ปัญหาเกิดขึ้นได้เพียงแค่ผู้ใช้งานรับสายจากคนร้ายเท่านั้นซึ่งส่งผลกระทบกับแพลตฟอร์มมือถือทั้ง Android และ iOS” โดยแพ็กเก็ต RTP คือ Realtime Transport Protocol ที่ใช้ส่งเสียงหรือวีดีโอผ่านอินเทอร์เน็ต แต่ถ้าเป็น Whatsapp เวอร์ชันเว็บนั้นจะมีการใช้ WebRTC แทนจึงรอดตัวไป

อย่างไรก็ตามทาง Google ได้เผยแพร้โค้ด PoC ของช่องโหว่ไว้แล้วที่นี่ แต่เป็นเพียงการทำให้แอปพลิเคชันค้างได้เท่านั้นซึ่งนักวิจัยชี้ว่าช่องโหว่นี้สามารถถูกดัดแปลงให้เป็นการแทรกแซงระบบของ Whatsapp ได้ ทั้งนี้ทาง Whatsapp ได้ออกแพตช์แก้ไขแล้วเมื่อวันที่ 28 กันยายนดังนั้นผู้ใช้งานควรอัปเดต

ที่มา : https://www.techworm.net/2018/10/whatsapp-hackers-crash-app-video-call.html และ https://www.bleepingcomputer.com/news/security/whatsapp-fixes-vulnerability-that-s-triggered-by-answering-a-call/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Microsoft แจกฟรี เอกสารภาษาไทย “เตรียมความพร้อมสำหรับการทำงานแบบ Hybrid Work ไม่ยากอย่างที่คิด”

Hybrid Work เป็นหัวข้อที่ถูกปฏิบัติใช้จริงภาคบังคับให้อย่างแพร่หลายจากสถานการณ์ของการแพร่ระบบจากโคโรน่าไวรัส แม้ว่าปัจจุบันผู้คนจะกลับมาใช้ชีวิตเข้าออฟฟิศกันเกือบปกติแล้วก็ตาม ที่สิ่งที่ต่างออกไปคือความรู้สึกและพฤติกรรมที่เปลี่ยนแปลงไปแล้ว เพราะมีผู้คนมากมายได้สัมผัสถึงคุณภาพชีวิตในอีกรูปแบบหนึ่งและหลายคนก็ชอบเสียด้วย เมื่อพฤติกรรมการทำงานเปลี่ยนไปตัวองค์กรเองก็ต้องมองหากลยุทธ์เพื่อรับมือกับวิธีการปฏิบัติงานที่เกิดขึ้นด้วย ซึ่งแต่ละคนก็ตีความบริบทการทำ Hybrid Work ต่างกัน อนึ่ง Microsoft เองที่เป็นผู้ให้บริการซอฟต์แวร์ระดับองค์กรมาอย่างยาวนานที่มีประสบการณ์ช่วยเหลือธุรกิจมากมาย จึงได้แจกเอกสารฟรีเพื่อเป็นแนวทางเชิงความคิด …

รวมวิดีโองานสัมมนา NCSA Virtual Summit #1 – 2023 Cybersecurity & Privacy Trends

สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)​ ร่วมกับ TechTalkThai จัดงานสัมมนา “NCSA Virtual Summit #1” ภายใต้ธีม 2023 Cybersecurity & Privacy Trends …