Les chercheurs en sécurité de Check Point Software Technologies expliquent que la faille permet à un seul attaquant de livrer, dans une conversation de groupe, un message qui produit un crash rapide et complet de l’application pour tous les membres.
Le crash est si grave que les utilisateurs seraient obligés de désinstaller et de réinstaller l’application. De plus, l’utilisateur ne pourrait plus rentrer dans le chat en groupe, ce qui entraînerait la perte de tout l’historique. Cela signifie que le chat en groupe ne peut pas être restauré après le crash et devra être supprimé pour arrêter le crash continu.
Un attaquant pourrait exploiter cette faille WhatsApp pour créer un crash continu et destructeur de l’application. Voici un exemple de la façon dont il pourrait se déplacer : avoir accès au groupe WhatsApp qui sera la cible de l’attaque et prétendre être un membre de chat (WhatsApp autorise jusqu’à 256 utilisateurs par groupe), puis modifie certains paramètres de message spécifiques et envoie au groupe des messages malveillants modifiés, à l’aide de WhatsApp Web et d’un outil de débogage du navigateur Web. Enfin, il met en place un plantage continu et imparable au détriment de tous les membres de la discussion de groupe, refusant aux utilisateurs l’accès à toutes les fonctionnalités de WhatsApp.
Dans cette recherche particulière, Check Point Research a découvert le défaut en examinant les communications entre WhatsApp et WhatsApp Web, la version Web de l’application. Généralement, lorsqu’un utilisateur envoie un message à la conversation de groupe, l’application examine le « paramètre du participant », qui contient le numéro de téléphone de l’utilisateur, pour identifier qui a envoyé le message. Les chercheurs de Check Point ont pu avoir une visibilité sur le « paramètre participant » utilisé dans les communications WhatsApp et le manipuler.
Check Point Research a révélé les résultats de son enquête sur le programme de bugs de primes WhatsApp le 28 août 2019. WhatsApp a reconnu les résultats et développé un correctif pour résoudre le problème, disponible dans la version 2.19.58 de l’application. WhatsApp a distribué la version à la mi-septembre et ajouté de nouveaux contrôles pour empêcher que des personnes soient ajoutées à des groupes indésirables, afin d’éviter complètement la communication avec des utilisateurs non fiables.
Le conseil est donc de mettre immédiatement à jour l’application vers la dernière version disponible.
