Normaliter wordt WhatsApp voor Android automatisch geüpdatet. De versie kun je in WhatsApp controleren via het menu (drie puntjes) en dan ‘Instellingen \ Help \ Over’. Als hier een lager nummer dan 2.19.244 staat, moet je de app via de Play Store updaten.
Aanval via GIF-bestand
Zowel voor een lokale als remote aanval via CVE-2019-11932 wordt een gemanipuleerde afbeelding in .gif-formaat gebruikt. Bij het maken daarvan moet specifieke (geheugenadres-)informatie van het doelapparaat gebruikt worden.
Bij de lokale exploit kan de GIF worden gemaakt door een (door de aanvaller geïnstalleerde) toepassing op het apparaat. Maar bij een remote aanval moet de aanvaller de benodigde gegevens via een andere app (bijvoorbeeld een browser) op afstand bemachtigen en de GIF vervolgens via WhatsApp naar het slachtoffer sturen. Als de aanvaller al in de contactenlijst staat, wordt de afbeelding automatisch gedownload.
De exploit start als er een preview van de GIF op het toestel wordt getoond. Dat gebeurt bijvoorbeeld bij doorsturen van de GIF als je via het paperclip-pictogram naar de WhatsApp-galerij gaat die de gemanipuleerde GIF bevat. De GIF kan een remote shell openen, waarmee de aanvaller bij WhatsApp-bestanden kan.
Meer details over het veiligheidslek kun je lezen op GitHub. De ontdekker heeft het daar uitvoerig beschreven, en de proof-of-concept-code en een demo-video gepubliceerd.