پژوهشگران امنیتی ترندمیکرو متوجه شدهاند که هزاران برنامهی اندرویدی تحت تأثیر آسیبپذیری پردازش GIF که بهتازگی در واتساپ وصله شده بود، قرار گرفتهاند. این آسیبپذیری امنیتی که با شناسهی CVE-2019_11932 ردیابی میشود، در کتابخانهی متنباز libpl_droidsonroids_gif.so وجود دارد و بخشی از پکیج android-gif-drawable است که توسط برنامههای اندرویدی مختلف در هنگام پردازش فایلهای GIF استفاده میشود.
واتساپ نسخهی اندروید یکی از برنامههای آسیبدیده بود و فیسبوک بهتازگی با انتشار نسخهی ۲٫۱۹٫۲۴۴ آن را وصله کرد. بااینحال، بسیاری از برنامههای دیگر هنوز از یک نسخهی آسیبپذیر این کتابخانه استفاده میکنند.
یک مهاجم برای بهرهبرداری از این آسیبپذیری علیه واتساپ باید یک فایل GIF مخرب را به یک کاربر واتساپ ارسال کند. این مسأله به محض اینکه برنامه یک پیشنمایش برای این فایل در گالری واتساپ ایجاد میکند، بهطور خودکار منجر به ایجاد این اشکال امنیتی میشود.
بااینحال، برای بهرهبرداری از آن مهاجم باید در فهرست تماس قربانی باشد، وگرنه GIF مخرب بهطور خودکار بارگیری نخواهد شد. سپس مهاجم میتواند امتیازات را افزایش دهد و به دسترسی به فایلهای دستگاه قربانی ازجمله پیامهای واتساپ دست یابد. مهاجم همچنین میتواند یک شل راه دور در context واتساپ ایجاد کند. بااینحال، برای اجرای کد از راه دور، مهاجم باید از آسیبپذیری دیگر یا یک برنامهی مخرب نصبشده در دستگاه استفاده کند.
این آسیبپذیری امنیتی در libpl_droidsonroids_gif.so دو ماه قبل وصله شده است، اما بسیاری از توسعهدهندگان هنوز پکیجهای خود را بهروزرسانی نکردهاند تا از نسخهی وصلهشده استفاده کنند. بهگفتهی ترندمیکرو، بیش از ۳ هزار برنامه در فروشگاه گوگلپلی وجود دارد که از کتابخانهی آسیبپذیر استفاده میکند، بنابراین کاربران خود را در معرض خطر قرار میدهد.
گزارش پژوهشگران این شرکت بیان میکند که در گوگلپلی بیش از ۳ هزار برنامه با این آسیبپذیری یافتهاند. همچنین بسیاری از برنامههای مشابه دیگر کشف شدهاند که در فروشگاههای برنامهی شخص ثالث مانند ۱mobile، ۹Apps، ۹۱ market، APLPure، Aptoide، ۳۶۰ Market، PP Assistant، QQ Market و Xiaomi Market وجود دارند. آنها بهصورت دستی برخی از برنامههای کشفشده را آزمایش کردند و وجود نسخهی قدیمی و آسیبپذیر libpl_droidsonroids_gif.so را تأیید کردند. ترندمیکرو نتیجهگیری میکند که درصورتیکه کاربران بهطور تصادفی یک برنامهی آسیبپذیر نصب کنند، در معرض خطر قرار خواهند گرفت، زیرا یک مهاجم ممکن است از این آسیبپذیری برای کنترل این دستگاه بهرهبرداری کند. از توسعهدهندگان خواسته شده است تا در صورت استفاده از libpl_droidsonroids_gif.so آن را بهروزرسانی کنند تا خطر آن را کاهش دهند.