Une vulnérabilité de sécurité dans WhatsApp pour Android et iOS provoque le crash complet de l’application lorsque la cible reçoit un message de groupe. Le message de chat de groupe dit « destructeur » peut faire planter WhatsApp pour tous les membres du groupe, avertit la société de sécurité Check Point, et il n’y a aucun moyen de résoudre la problématique que de désinstaller et la réinstalle l’application.
Il est impossible de revenir au chat de groupe et de restaurer l’historique des messages, et le seul moyen d’arrêter la boucle infinie est de supprimer la conversation où le message a été envoyé. Le message créé peut être envoyé à partir d’un navigateur à l’aide d’un outil de débogage, et Check Point indique que tous les messages de groupe sur Android et iOS sont affectés.
La société de sécurité révèle qu’elle a déjà contacté WhatsApp pour signaler la vulnérabilité et la société propriétaire de Facebook — a publié un correctif pour la corriger. Il est donc recommandé aux utilisateurs de mettre à jour la dernière version de l’application dès que possible. Sous iOS, la version de WhatsApp qui inclut le patch est 2.19.120, alors que sous Android, la dernière version est 2.19.360.
Au moment d’écrire cet article, on ne sait pas encore si ce bug a été abusé. Évidemment, étant donné la nature de l’accès à un groupe spécifique et les compétences requises pour accéder aux clés de chiffrement pour ce groupe particulier, ce n’est pas un bug qui constitue une menace généralisée.
Néanmoins, pour les utilisateurs qui n’ont pas mis à jour leur application, le potentiel d’attaques ciblées est très élevé. « Dans WhatsApp, il existe de nombreux groupes importants avec un précieux contenu. Si un hacker utilise cette technique et plante l’un de ces groupes, tout l’historique du chat sera effacé et toute communication ultérieure sera impossible », précise-t-il.
WhatsApp prit pour cible
WhatsApp est actuellement la première plateforme de messagerie instantanée sur Android et iOS avec environ 1,5 milliard d’utilisateurs dans le monde. Cependant, les bugs dans l’application ne sont pas quelque chose d’inhabituel, car Check Point elle-même a déjà découvert des vulnérabilités analogues qui permettaient aux acteurs malveillants d’envoyer de faux messages.
WhatsApp n’a pas émis d’avertissement sur cette nouvelle découverte, mais une mise à jour immédiate est de toute façon recommandée, d’autant plus qu’un exploit réussi provoquerait le crash complet de l’application jusqu’à ce que le chat du groupe soit supprimé. Une démonstration du bug est disponible dans cette vidéo de Check Point Research :
