Een kwetsbaarheid in de WebP-library die is gebruikt om gebruikers van Google Chrome mee aan te vallen, en vermoedelijk iPhones met spyware te infecteren, is nog aanwezig in Android en vormt daarmee een risico voor apps zoals WhatsApp en Signal. Dat staat in een analyse van beveiligingsonderzoeker Ben Hawkes, die eerder nog manager was bij Google Project Zero.
WebP is een door Google ontwikkeld bestandsformaat dat de formaten JPEG, PNG en GIF zou moeten vervangen. Een kwetsbaarheid in de library, waar naast Chrome ook allerlei andere software gebruik van maakt, laat een aanvaller willekeurige code op het systeem uitvoeren als er een malafide WebP-afbeelding wordt verwerkt. Op 11 september kwam Google met een beveiligingsupdate voor een actief aangevallen zerodaylek in Chrome, aangeduid als CVE-2023-4863.
De kwetsbaarheid bevond zich in WebP en was gevonden door onderzoekers van Apple en Citizen Lab, die laatst ook twee andere zerodaylekken in iOS hadden gevonden. Deze twee kwetsbaarheden werden gebruikt voor het stilletjes infecteren van iPhones met de Pegasus-spyware. Een van deze kwetsbaarheden, CVE-2023-41064, bevindt zich in ImageIO. Een framework van Apple voor het verwerken van afbeeldingen. ImageIO ondersteunt pas recentelijk WebP-bestanden. Aangezien Apple het WebP-lek aan Google rapporteerde, is het volgens Hawkes aannemelijk dat CVE-2023-41064 en CVE-2023-4863 dezelfde kwetsbaarheid zijn.
WebP wordt door allerlei software gebruikt. Zo kwam Mozilla met updates voor Firefox en Thunderbird. Een aantal programma's is nog kwetsbaar, aldus securitybedrijf Rezilion. Het gaat om Microsoft Teams, Slack, Skype, Discord, Affinity, Gimp, Inkscape, LibreOffice, ffmpeg. Volgens Hawkes heeft ook Android met het probleem te maken.
Waar iOS gebruikmaakt van ImageIO voor het verwerken van afbeeldingen, doet Android dit door middel van BitmapFactory, dat ook WebP ondersteunt. Android heeft nog geen beveiligingsupdate uitgebracht, maar volgens Hawkes is de oplossing al wel aan het Android Open Source Project (AOSP) toegevoegd. "Als deze bug Android raakt, kan die worden gebruikt voor een remote exploit voor apps zoals Signal en WhatsApp", waarschuwt de onderzoeker, die vermoedt dat Google de update met het beveiligingsbulletin van oktober beschikbaar zal maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.