鉴黑担保网

首页 > 清静研究 > 研究报告 > 清静误差剖析

Facebook WhatsApp TLS令牌走漏误差复现（CVE-2021-24027）

宣布时间 2021-04-30

配景

WhatsApp是美国Facebook的即时通讯应用，，，在外洋拥有重大的用户基数。。。。4月14日，，，清静研究员Chariton Karamitas披露Android WhatsApp保存令牌泄露误差，，，连系其他误差可导致远程代码执行。。。。该误差影响WhatsApp v2.21.4.18和WhatsApp Business v2.21.4.18之前的版本，，，建议用户实时更新到2.21.4.18或更高版本，，，以规避该误差保存的攻击危害。。。。

误差剖析

1、令牌泄露误差（CVE-2021-24027）

该误差保存的缘故原由，，，是由于WhatsApp将TLS会话上岸后的序列化令牌文件放在了sdcard目录下，，，该目录并未设置会见权限。。。。

WhatsApp接纳TLS1.3/TLS1.2来举行客户端到效劳器的通讯，，，在TLS握手的历程中，，，通讯双方举行相互认证和密钥协商，，，效劳器身份验证使用非对称加密方法，，，关于较小尺寸的嵌入式装备，，，这是一个盘算量很是大的历程。。。。为了镌汰功耗，，，节约CPU周期，，，提出了会话恢复历程，，，当重新建设握手时，，，复用之前的会话信息。。。。

下图中为设置会话缓存文件夹的反编译代码截图及现实文件路径截图，，，WhatsApp将上岸会话缓存TLS1.2和TLS1.3划分放在文件夹SSLSessionCache和watls-sessions中。。。。这些目录在不受�；；；；；；さ耐獠看娲⑾隆�。。。攻击者可以通过物理接触手机获得这些文件，，，造成令牌走漏。。。。

2、目录穿越误差

WhatsApp有Emoji和照片滤镜热更新功效，，，我们可以使用中心人来改动Emoji或照片滤镜热更新时的zip包。。。。zip文件解压反编译代码截图如下：

WhatsApp举行Emoji或照片滤镜热更新时，，，没有过滤”.//”，，，可导致目录穿越。。。。若是受害者被中心人挟制，，，并且攻击者改动了热更新zip包，，，其中包括由”.//”目录组成的so文件，，，使其笼罩WhatsApp动态链接库so文件，，，将导致恣意代码执行。。。。

误差使用

前面提到需要通过物理接触获取令牌，，，局限性较大。。。。若是攻击者配合网络垂纶，，，发送一个伪装的html文件给受害者，，，当受害者使用Chrome（保存误差CVE-2020-6516）翻开此html时，，，执行html中的js代码，，，遍历sdcard文件夹查找TLS缓存文件，，，并把文件发送到攻击者指定的效劳器上。。。。大致历程如下：

（1）在发送一条新闻时，，，包括新闻的类型、新闻的预览图片、新闻的问题和新闻的现实内容文件四部分。。。。类路径X/041的A0l字段指示发送新闻的类型，，，类路径X/0Qe的A03字段指示新闻的预览图片的byte数组，，，类路径X/0Nd的A04字段指示发送新闻的问题，，，类路径X/0M6的A05(Ljava/util/List;Landroid/net/Uri;Ljava/lang/String;LX/041;LX/02l;Z)要领为最终发送新闻现实内容文件的函数。。。。相关截图如下：

（2）攻击者接纳frida的RPC远程挪用功效建设一个函数，，，并在hook函数中修改第一步中待发送的新闻，，，将新闻的预览图片替换成具有吸引力的图片，，，并挪用X/0M6的A05(Ljava/util/List;Landroid/net/Uri;Ljava/lang/String;LX/041;LX/02l;Z)要领将新闻发送给受害者（第一个参数为由受害者的WhatsApp地点组成的List，，，WhatApp地点名堂为mobile_number@s.whatsapp.net），，，若是受害者点击图片，，，挪用Chrome翻开恶意html文件，，，TLS缓存令牌可能被发送到攻击者效劳器。。。。

（3）html文件要害部分截图如下。。。。在乐成获取到TLS缓存文件后，，，我们即可举行中心人攻击。。。。

（4）使用Emoji或照片滤镜热更新功效，，，通过中心人来改动Emoji或照片滤镜热更新响应zip包，，，从而导致远程恣意代码执行（演示视频为了利便，，，直接使用Charles来模拟热更新笼罩WhatsApp动态链接库so文件，，，来抵达RCE的历程）。。。。

误差复现

1、令牌泄露误差复现

2、RCE误差复现

参考链接：

[1]https://www.census-labs.com/news/2021/04/14/whatsapp-mitd-remote-exploitation-CVE-2021-24027/

[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-24027

[3] https://github.com/CENSUS/whatsapp-mitd-mitm

[4] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6516

[5]https://bugs.chromium.org/p/chromium/issues/detail?id=1092449

[6] https://youtu.be/sdVqTEXHxxY

[7] https://youtu.be/KO_K0F4W36I

鉴黑担保网起劲防御实验室（ADLab）

ADLab建设于1999年，，，是中国清静行业最早建设的攻防手艺研究实验室之一，，，微软MAPP妄想焦点成员，，，“黑雀攻击”看法首推者。。。。阻止现在，，，ADLab已通过CVE累计宣布清静误差近1100个，，，通过 CNVD/CNNVD累计宣布清静误差1000余个，，，一连坚持国际网络清静领域一流水准。。。。实验室研究偏向涵盖操作系统与应用系统清静研究、智能终端清静研究、物联网智能装备清静研究、Web清静研究、工控系统清静研究、云清静研究。。。。研究效果应用于产品焦点手艺研究、国家重点科技项目攻关、专业清静效劳等。。。。

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】