ทาง Google Project Zero พบช่องโหว่ร้ายแรงบนแอพแชตยอดนิยมของโลก WhatsApp ที่เปิดให้แฮ็กเกอร์เข้าควบคุมบัญชี WhatsApp ของเหยื่อได้เต็มรูปแบบ เพียงแต่กดวิดีโอคอลล์ไปหาเหยื่อเท่านั้น ช่องโหว่นี้เป็นการยิงข้อมูลจนล้นหน่วยความจำจากการใช้แพ็กเก็ตข้อมูลแบบ RTP ที่ออกแบบมาเป็นพิเศษ
เมื่อยิง RTP ที่ส่งมาพร้อมกับวิดีโอคอลล์สำเร็จ ก็จะทำให้แอพ WhatsApp ปลายทางเกิดความผิดพลาด และค้างได้ บั๊กนี้จึงกระทบกับแอพทั้งบน iOS และแอนดรอยด์ แต่ไม่ส่งผลกับ WhatsApp Web ที่ใช้งานผ่านหน้าเว็บ ซึ่งใช้โปรโตคอล WebRTC ในการวิดีโอคอลแทน
ทางนักวิจัยของกูเกิ้ลยังได้เปิดเผยรายละเอียดวิธีการโจมตีสู่สาธารณะด้วย โดยเหตุผลที่จัดระดับความรุนแรงเข้าขั้นวิกฤติเนื่องจากแค่กดรับวิดีโอคอลล์จากผู้ไม่หวังดีก็โดนแฮ็กบัญชีได้ทันที ขอแค่ผู้โจมตีรู้เบอร์โทรศัพท์ของเหยื่อก็สามารถดูดข้อมูลการสนทนาได้หมด
ทางกูเกิ้ลรายงานข้อมูลช่องโหว่นี้ไปยังทีม WhatsApp เมื่อเดือนสิงหาคมที่ผ่านมา ซึ่งทาง WhatsApp ได้ออกแพทช์มาแล้วเมื่อวันที่ 28 กันยายนสำหรับแอพบนแอนดรอยด์ และล่าสุดเมื่อวันที่ 3 ตุลาคมสำหรับเวอร์ชั่นบนไอโฟน
ที่มา : Thehackernews
