image

WebP-zerodaylek in Android risico voor apps zoals WhatsApp en Signal

vrijdag 22 september 2023, 12:36 door Redactie, 8 reacties
Laatst bijgewerkt: 22-09-2023, 13:30

Een kwetsbaarheid in de WebP-library die is gebruikt om gebruikers van Google Chrome mee aan te vallen, en vermoedelijk iPhones met spyware te infecteren, is nog aanwezig in Android en vormt daarmee een risico voor apps zoals WhatsApp en Signal. Dat staat in een analyse van beveiligingsonderzoeker Ben Hawkes, die eerder nog manager was bij Google Project Zero.

WebP is een door Google ontwikkeld bestandsformaat dat de formaten JPEG, PNG en GIF zou moeten vervangen. Een kwetsbaarheid in de library, waar naast Chrome ook allerlei andere software gebruik van maakt, laat een aanvaller willekeurige code op het systeem uitvoeren als er een malafide WebP-afbeelding wordt verwerkt. Op 11 september kwam Google met een beveiligingsupdate voor een actief aangevallen zerodaylek in Chrome, aangeduid als CVE-2023-4863.

De kwetsbaarheid bevond zich in WebP en was gevonden door onderzoekers van Apple en Citizen Lab, die laatst ook twee andere zerodaylekken in iOS hadden gevonden. Deze twee kwetsbaarheden werden gebruikt voor het stilletjes infecteren van iPhones met de Pegasus-spyware. Een van deze kwetsbaarheden, CVE-2023-41064, bevindt zich in ImageIO. Een framework van Apple voor het verwerken van afbeeldingen. ImageIO ondersteunt pas recentelijk WebP-bestanden. Aangezien Apple het WebP-lek aan Google rapporteerde, is het volgens Hawkes aannemelijk dat CVE-2023-41064 en CVE-2023-4863 dezelfde kwetsbaarheid zijn.

WebP wordt door allerlei software gebruikt. Zo kwam Mozilla met updates voor Firefox en Thunderbird. Een aantal programma's is nog kwetsbaar, aldus securitybedrijf Rezilion. Het gaat om Microsoft Teams, Slack, Skype, Discord, Affinity, Gimp, Inkscape, LibreOffice, ffmpeg. Volgens Hawkes heeft ook Android met het probleem te maken.

Waar iOS gebruikmaakt van ImageIO voor het verwerken van afbeeldingen, doet Android dit door middel van BitmapFactory, dat ook WebP ondersteunt. Android heeft nog geen beveiligingsupdate uitgebracht, maar volgens Hawkes is de oplossing al wel aan het Android Open Source Project (AOSP) toegevoegd. "Als deze bug Android raakt, kan die worden gebruikt voor een remote exploit voor apps zoals Signal en WhatsApp", waarschuwt de onderzoeker, die vermoedt dat Google de update met het beveiligingsbulletin van oktober beschikbaar zal maken.

Reacties (8)
22-09-2023, 13:56 door Anoniem
Nou, volgens mij hoeft er voor een remote exploit voor Signal niet te worden gewacht tot deze bug Android raakt - de laatste versie (21 september 2023) daarvan heeft in de Google Playstore bij "What's new" alleen de onderstaande tekst staan, die bij mij de indruk wekt dat de hele distributie ervan toch al gecompromitteerd is:

"Chats now open much more quickly, so any conversation about where you're meeting friends for dinner will always sort of be about fast food."

Hoe je bij zo'n onzinnige zin komt die impliceert dat de inhoud van chats op onderwerp gescand en gepresenteerd wordt, kan ik niet rijmen met de veranderingen zoals weergegeven op: https://github.com/signalapp/Signal-Android/compare/v6.33.2...v6.33.3
22-09-2023, 14:43 door Anoniem
Mijn standaard Windows 10 heeft ook Webp Image Extensions van Microsoft Corporation als App. Deze is voor het laatst geüpdatet 29/07/2023.

Zelf installeer ik nooit iets uit de Microsoft Store omdat ik daar niets uit nodig heb.
22-09-2023, 23:05 door johanw
Door Anoniem: Nou, volgens mij hoeft er voor een remote exploit voor Signal niet te worden gewacht tot deze bug Android raakt - de laatste versie (21 september 2023) daarvan heeft in de Google Playstore bij "What's new" alleen de onderstaande tekst staan, die bij mij de indruk wekt dat de hele distributie ervan toch al gecompromitteerd is:

"Chats now open much more quickly, so any conversation about where you're meeting friends for dinner will always sort of be about fast food."

Hoe je bij zo'n onzinnige zin komt die impliceert dat de inhoud van chats op onderwerp gescand en gepresenteerd wordt, kan ik niet rijmen met de veranderingen zoals weergegeven op: https://github.com/signalapp/Signal-Android/compare/v6.33.2...v6.33.3

Dit is een kulreactie. Je vergelijkt 2 bugfix versies, de omschrijving wordt dan gewoonlijjk niet aangepast door Signal. Je moet veel verder terug kijken en je ziet veel CIV2 commits, dat is een interne restructuring om de UI sneller te maken. Dat heeft niks met scanning van content te maken.
23-09-2023, 10:45 door Anoniem
Door Anoniem:

"Chats now open much more quickly, so any conversation about where you're meeting friends for dinner will always sort of be about fast food."

Hoe je bij zo'n onzinnige zin komt die impliceert dat de inhoud van chats op onderwerp gescand en gepresenteerd wordt,

Niks meer dan een woordgrap., zoals altijd bij Signal per beta cycle. Maar humor is subjectief natuurlijk.
23-09-2023, 10:50 door Anoniem
Door johanw:
Door Anoniem: Nou, volgens mij hoeft er voor een remote exploit voor Signal niet te worden gewacht tot deze bug Android raakt - de laatste versie (21 september 2023) daarvan heeft in de Google Playstore bij "What's new" alleen de onderstaande tekst staan, die bij mij de indruk wekt dat de hele distributie ervan toch al gecompromitteerd is:

"Chats now open much more quickly, so any conversation about where you're meeting friends for dinner will always sort of be about fast food."

Hoe je bij zo'n onzinnige zin komt die impliceert dat de inhoud van chats op onderwerp gescand en gepresenteerd wordt, kan ik niet rijmen met de veranderingen zoals weergegeven op: https://github.com/signalapp/Signal-Android/compare/v6.33.2...v6.33.3

Dit is een kulreactie. Je vergelijkt 2 bugfix versies, de omschrijving wordt dan gewoonlijjk niet aangepast door Signal. Je moet veel verder terug kijken en je ziet veel CIV2 commits, dat is een interne restructuring om de UI sneller te maken. Dat heeft niks met scanning van content te maken.

Als de UI sneller wordt, dan moet je daar een hint van geven in de "What's new"-tekst. Hier staat letterlijk "elke conversatie over waar je met vrienden afspreekt om te gaan eten, zal altijd zo'n beetje over fast food gaan". Fast food heeft met eten te maken, maar wanneer je met vrienden afspreekt ergens te gaan eten, zal dat zelden bij een fast food-tent zijn. Bovendien wil je niet dat het "zo'n beetje" over "fast food" gaat, je wil verdomme gewoon de conversatie zien die je opent.

Ik blijf erbij dat de omschrijving haaks staat op alles wat men met Signal heeft proberen te bereiken. Ik zal dus wel de versie van github pakken, want wat er in de Google Playstore wordt omschreven is en blijft rechtstreekse nonsens.
23-09-2023, 11:36 door Anoniem
Maar als je zo wilt denken, kan het wel degelijk 'voorsorteren' betekenen voor de content side scanning plannetjes van Europese en andere overheden. Vermoedens die nooit bevestigd zullen worden helaas, maar dus 'holed for a purpose'.

Niets op deze planeet gebeurt 'toevalligerwijze', ga daar maar steeds vanuit, even de 'dat kan toch niet figuren' daargelaten.

Wie hebben nou dezelfde argwaan als ik?

luntrus
26-09-2023, 10:15 door Anoniem
Door Anoniem: Mijn standaard Windows 10 heeft ook Webp Image Extensions van Microsoft Corporation als App. Deze is voor het laatst geüpdatet 29/07/2023.

Zelf installeer ik nooit iets uit de Microsoft Store omdat ik daar niets uit nodig heb.

Als je de microsoft store disabled doen je apps het niet eens meer. Ook weer zoiets achterlijks van microsoft, kan niet eens de calculator gebruiken. Wat een dom gedoe daar.
28-09-2023, 16:17 door Anoniem
Door Anoniem: Als de UI sneller wordt, dan moet je daar een hint van geven in de "What's new"-tekst.
Er staat letterlijk "Chats now open much more quickly."

Daarna volgt gewoon een grapje dat dit betekent dat elke conversatie die je vanaf nu over eten zult hebben, automatisch over "fast food" zal gaan (omdat Signal dus zoveel sneller is geworden). Een grapje van een ontwikkelaar in patch notes, niets om je over op te winden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.