WebP-zerodaylek in Android risico voor apps zoals WhatsApp en Signal
Een kwetsbaarheid in de WebP-library die is gebruikt om gebruikers van Google Chrome mee aan te vallen, en vermoedelijk iPhones met spyware te infecteren, is nog aanwezig in Android en vormt daarmee een risico voor apps zoals WhatsApp en Signal. Dat staat in een analyse van beveiligingsonderzoeker Ben Hawkes, die eerder nog manager was bij Google Project Zero.
WebP is een door Google ontwikkeld bestandsformaat dat de formaten JPEG, PNG en GIF zou moeten vervangen. Een kwetsbaarheid in de library, waar naast Chrome ook allerlei andere software gebruik van maakt, laat een aanvaller willekeurige code op het systeem uitvoeren als er een malafide WebP-afbeelding wordt verwerkt. Op 11 september kwam Google met een beveiligingsupdate voor een actief aangevallen zerodaylek in Chrome, aangeduid als CVE-2023-4863.
De kwetsbaarheid bevond zich in WebP en was gevonden door onderzoekers van Apple en Citizen Lab, die laatst ook twee andere zerodaylekken in iOS hadden gevonden. Deze twee kwetsbaarheden werden gebruikt voor het stilletjes infecteren van iPhones met de Pegasus-spyware. Een van deze kwetsbaarheden, CVE-2023-41064, bevindt zich in ImageIO. Een framework van Apple voor het verwerken van afbeeldingen. ImageIO ondersteunt pas recentelijk WebP-bestanden. Aangezien Apple het WebP-lek aan Google rapporteerde, is het volgens Hawkes aannemelijk dat CVE-2023-41064 en CVE-2023-4863 dezelfde kwetsbaarheid zijn.
WebP wordt door allerlei software gebruikt. Zo kwam Mozilla met updates voor Firefox en Thunderbird. Een aantal programma's is nog kwetsbaar, aldus securitybedrijf Rezilion. Het gaat om Microsoft Teams, Slack, Skype, Discord, Affinity, Gimp, Inkscape, LibreOffice, ffmpeg. Volgens Hawkes heeft ook Android met het probleem te maken.
Waar iOS gebruikmaakt van ImageIO voor het verwerken van afbeeldingen, doet Android dit door middel van BitmapFactory, dat ook WebP ondersteunt. Android heeft nog geen beveiligingsupdate uitgebracht, maar volgens Hawkes is de oplossing al wel aan het Android Open Source Project (AOSP) toegevoegd. "Als deze bug Android raakt, kan die worden gebruikt voor een remote exploit voor apps zoals Signal en WhatsApp", waarschuwt de onderzoeker, die vermoedt dat Google de update met het beveiligingsbulletin van oktober beschikbaar zal maken.
"Chats now open much more quickly, so any conversation about where you're meeting friends for dinner will always sort of be about fast food."
Hoe je bij zo'n onzinnige zin komt die impliceert dat de inhoud van chats op onderwerp gescand en gepresenteerd wordt, kan ik niet rijmen met de veranderingen zoals weergegeven op: https://github.com/signalapp/Signal-Android/compare/v6.33.2...v6.33.3
Zelf installeer ik nooit iets uit de Microsoft Store omdat ik daar niets uit nodig heb.
"Chats now open much more quickly, so any conversation about where you're meeting friends for dinner will always sort of be about fast food."
Hoe je bij zo'n onzinnige zin komt die impliceert dat de inhoud van chats op onderwerp gescand en gepresenteerd wordt, kan ik niet rijmen met de veranderingen zoals weergegeven op: https://github.com/signalapp/Signal-Android/compare/v6.33.2...v6.33.3
Dit is een kulreactie. Je vergelijkt 2 bugfix versies, de omschrijving wordt dan gewoonlijjk niet aangepast door Signal. Je moet veel verder terug kijken en je ziet veel CIV2 commits, dat is een interne restructuring om de UI sneller te maken. Dat heeft niks met scanning van content te maken.
"Chats now open much more quickly, so any conversation about where you're meeting friends for dinner will always sort of be about fast food."
Hoe je bij zo'n onzinnige zin komt die impliceert dat de inhoud van chats op onderwerp gescand en gepresenteerd wordt,
Niks meer dan een woordgrap., zoals altijd bij Signal per beta cycle. Maar humor is subjectief natuurlijk.
"Chats now open much more quickly, so any conversation about where you're meeting friends for dinner will always sort of be about fast food."
Hoe je bij zo'n onzinnige zin komt die impliceert dat de inhoud van chats op onderwerp gescand en gepresenteerd wordt, kan ik niet rijmen met de veranderingen zoals weergegeven op: https://github.com/signalapp/Signal-Android/compare/v6.33.2...v6.33.3
Dit is een kulreactie. Je vergelijkt 2 bugfix versies, de omschrijving wordt dan gewoonlijjk niet aangepast door Signal. Je moet veel verder terug kijken en je ziet veel CIV2 commits, dat is een interne restructuring om de UI sneller te maken. Dat heeft niks met scanning van content te maken.
Als de UI sneller wordt, dan moet je daar een hint van geven in de "What's new"-tekst. Hier staat letterlijk "elke conversatie over waar je met vrienden afspreekt om te gaan eten, zal altijd zo'n beetje over fast food gaan". Fast food heeft met eten te maken, maar wanneer je met vrienden afspreekt ergens te gaan eten, zal dat zelden bij een fast food-tent zijn. Bovendien wil je niet dat het "zo'n beetje" over "fast food" gaat, je wil verdomme gewoon de conversatie zien die je opent.
Ik blijf erbij dat de omschrijving haaks staat op alles wat men met Signal heeft proberen te bereiken. Ik zal dus wel de versie van github pakken, want wat er in de Google Playstore wordt omschreven is en blijft rechtstreekse nonsens.
Niets op deze planeet gebeurt 'toevalligerwijze', ga daar maar steeds vanuit, even de 'dat kan toch niet figuren' daargelaten.
Wie hebben nou dezelfde argwaan als ik?
luntrus
Zelf installeer ik nooit iets uit de Microsoft Store omdat ik daar niets uit nodig heb.
Als je de microsoft store disabled doen je apps het niet eens meer. Ook weer zoiets achterlijks van microsoft, kan niet eens de calculator gebruiken. Wat een dom gedoe daar.
Daarna volgt gewoon een grapje dat dit betekent dat elke conversatie die je vanaf nu over eten zult hebben, automatisch over "fast food" zal gaan (omdat Signal dus zoveel sneller is geworden). Een grapje van een ontwikkelaar in patch notes, niets om je over op te winden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.