idNSA.id - WhatsApp baru-baru ini mengatasi dua kerentanan keamanan di aplikasinya untuk Android yang dapat dieksploitasi oleh penyerang jarak jauh untuk mengeksekusi malicious code pada perangkat target dan berpotensi menguping komunikasi.
Kerentanan memungkinkan penyerang melakukan serangan "man-in-the-disk" yang biasanya mungkin terjadi saat aplikasi seluler mengelola Penyimpanan Eksternal dengan tidak benar yang digunakan bersama di semua aplikasi pada perangkat.
Serangan berasal dari kemampuan penyerang untuk menyusupi aplikasi dengan memanipulasi data tertentu yang dipertukarkan dan penyimpanan eksternal.
“Kita akan melihat bagaimana serangan phishing sederhana melalui aplikasi perpesanan Android dapat mengakibatkan kebocoran data langsung yang ditemukan di Penyimpanan Eksternal ( / sdcard ). Kemudian kami akan menunjukkan bagaimana dua kerentanan WhatsApp yang disebutkan di atas akan memungkinkan penyerang untuk mengumpulkan materi kriptografi TLS dari jarak jauh untuk sesi TLS 1.3 dan TLS 1.2. ” membaca analisis peneliti dari Census Labs yang melaporkan salah satu dari dua masalah (CVE-2021-24027).
“Dengan rahasia TLS di tangan, kami akan mendemonstrasikan bagaimana serangan man-in-the-middle (MitM) dapat menyebabkan gangguan komunikasi WhatsApp, eksekusi kode jarak jauh pada perangkat korban dan ekstraksi Noise [ 05 ] kunci protokol yang digunakan untuk enkripsi ujung ke ujung dalam komunikasi pengguna. ”
Cacat CVE-2021-24027 berasal dari penerapan penyedia konten di Chrome, yang merupakan mekanisme IPC yang digunakan oleh aplikasi untuk berbagi sumber daya dengan aplikasi lain, dan bypass kebijakan asal yang sama di browser (CVE-2020 -6516).
Penyerang dapat memicu masalah dengan mengirimkan file HTML yang dibuat khusus ke korban melalui WhatsApp, yang pernah dibuka di browser korban, menjalankan kode penyerang yang terdapat dalam file HTML.
Kode tersebut juga memungkinkan penyerang untuk mengakses data yang disimpan di penyimpanan eksternal. Serangan ini dapat dimanfaatkan untuk mengakses data yang disimpan oleh WhatsApp, termasuk session key TLS yang disimpan dalam sub direktori.
“Musuh yang entah bagaimana memperoleh akses ke direktori cache eksternal (mis. Melalui aplikasi yang berbahaya atau rentan) dapat mencuri kunci TLS 1.3 PSK dan Rahasia Master TLS 1.2. Seperti yang sudah dibahas, ini bisa mengarah pada serangan man-in-the-middle yang berhasil. ” lanjutan analisis. “Kami akan menggunakan kerentanan pengabaian SOP yang dijelaskan sebelumnya di Chrome, untuk mengakses rahasia sesi TLS dari jarak jauh. Yang harus dilakukan penyerang adalah membujuk korban untuk membuka lampiran dokumen HTML. WhatsApp akan membuat lampiran ini di Chrome, melalui penyedia konten, dan kode Javascript penyerang akan dapat mencuri session key TLS yang disimpan. ”
Setelah mendapatkan session key, pelaku ancaman dapat melakukan tahap serangan man-in-the-middle untuk mencapai eksekusi kode jarak jauh atau bahkan mengeksfiltrasi pasangan kunci protokol Noise yang digunakan untuk mengimplementasikan enkripsi end-to-end komunikasi pengguna.
“WhatsApp hadir dengan mekanisme debugging yang memungkinkan tim pengembangannya menangkap kesalahan fatal yang terjadi di dunia maya selama beberapa hari pertama rilis. Lebih khusus lagi, jika pengecualian OutOfMemoryError muncul, pengendali pengecualian khusus akan dipanggil yang mengumpulkan Informasi Sistem, Log Aplikasi WhatsApp, serta dump dari Application Heap (dikumpulkan menggunakan android.os.Debug::dumpHprofData()). Ini diunggah ke crashlogs.whatsapp.net. ” Pernyataan dari laporan.
Saat pengecualian OutOfMemoryError muncul , WhatsApp mengunggah pasangan kunci yang disandikan bersama dengan data lain ke server log. Ini hanya terjadi jika perangkat menjalankan versi baru aplikasi dan "kurang dari 10 hari telah berlalu sejak tanggal rilis versi saat ini".
Penyerang dapat dengan sengaja membuang pengecualian untuk memaksa data dikirim ke server dan mencegatnya.
Google mengurangi serangan ini dengan memperkenalkan model "scoped storage" yang memungkinkan setiap aplikasi mengakses hanya file cache khusus aplikasinya sendiri.
Kerentanan di atas telah diatasi oleh WhatsApp dengan rilis versi 2.21.4.18.
“CENSUS sangat menyarankan kepada pengguna untuk memastikan mereka menggunakan WhatsApp versi 2.21.4.18 atau lebih tinggi di platform Android, karena versi sebelumnya rentan terhadap bug yang disebutkan di atas dan memungkinkan untuk pengawasan pengguna jarak jauh. CENSUS telah melacak kerentanan man-in-the-disk TLS 1.2 di bawah CVE-2021-24027. " Kesimpulan dari laporan.
“Ada lebih banyak subsistem di WhatsApp yang mungkin menarik bagi penyerang. Komunikasi dengan server upstream dan implementasi enkripsi E2E adalah dua komunikasi penting. Selain itu, terlepas dari kenyataan bahwa pekerjaan ini difokuskan pada WhatsApp, aplikasi perpesanan Android populer lainnya (mis. Viber, Facebook Messenger), atau bahkan game seluler mungkin dengan enggan mengekspos surface serangan serupa ke musuh jarak jauh. ”
