4000个微笑表情能使WhatsApp崩溃?

2015-12-23 +5 272469人围观 ,发现 26 个不明物体 漏洞资讯

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

一位独立研究员,Indrajeet Bhuyan报告了存在于WhatsApp中的一个新漏洞,通过利用该漏洞,任何人都可以远程使WhatsApp崩溃,而他们需要做的仅仅是向目标用户发送将近4000个表情符号。该漏洞影响全球约10亿WhatsApp用户。

4000个表情就能使WhatsApp崩溃

为了使广受欢迎的消息应用WhatsApp崩溃,我们都需要做什么呢?其实很简单,仅仅需要将近4000个微笑表情符号即可使其崩溃,包括WhatsApp Web版和移动APP。是的,仅仅通过向你朋友的WhatsApp上发送微笑表情符号,你就可以使他的WhatsApp崩溃,包括WhatsApp Web版本和移动应用。

一位独立研究员,Indrajeet Bhuyan报告了存在于WhatsApp中的一个新漏洞,通过利用该漏洞,任何人都可以远程使WhatsApp崩溃,而他们需要做的仅仅是向目标用户发送将近4000个表情符号。此外,该漏洞影响全球约10亿WhatsApp用户。

崩溃漏洞原理

Bhuyan去年报告了WhatsApp的一个崩溃漏洞,该漏洞只需要将2000个单词(2kb大小)的特殊字符消息发送到对方,这样就能远程崩溃WhatsApp应用程序(Freebuf相关报道)。在这一发现后,通过设置WhatsApp短消息中的字符数限制,该公司修复了这个漏洞。然而不幸的是,那次修复却未能限制WhatsApp消息中笑脸表情符号的数量。

Bhuyan在他的博文中写道:

”在WhatsApp Web中,WhatsApp允许65500—6600个字符,但在输入约4200—4400个笑脸时,浏览器反应开始变慢。但是,由于当前消息数量尚未达到其限制,所以WhatsApp仍然允许继续插入…当它收到更多表情符号时,就会造成缓冲区溢出并最终崩溃。”

最近,通过在多个不同品牌的安卓设备上测试该漏洞,最终都成功使WhatsApp崩溃:

1、WhatsApp运行的安卓系统版本包括Marshmallow(6.0)、Lollipop(5.0)和Kitkat(4.4)。
2、WhatsApp Web版本,针对Chrome、Opera和Firefox浏览器。

确定的是,最新版本的WhatsApp仍然受这个漏洞的影响。

视频演示

你也可以观看下面的POC视频,视频中演示了这种攻击能够正常工作。

    

如何保护自己

根据Bhuyan透露,他已经将此WhatsApp崩溃漏洞报告给了Facebook。然而,在该公司发布漏洞补丁之前,有一个简单的办法能够防止自己的WhatsApp被攻击而崩溃。

如果你成为这类WhatsApp消息的受害者,只需要打开你的信使,并删除此发件人及和他的整个会话。然而,请记住,如果你之前保存了与那个好友的一些聊天记录,那么此时这些记录将全部被删除。

在今年年初,Bhuyan还报告了两个单独的漏洞—WhatsApp照片隐私漏洞和WhatsApp Web照片同步漏洞—在WhatsApp Web客户端上,以某种方式能够暴露用户隐私(Freebuf相关报道)。

*参考来源:THNSecurityAffairs,FB小编JackFree编译,有适当修改,转载请注明来自FreeBuf黑客与极客(FreeBuf.com)

相关推荐

这些评论亮了

  • 123 回复
    你发1000个表情给你好友,估计就把你拉黑了
    )10( 亮了
发表评论

已有 26 条评论

取消
Loading...

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php