WhatsApp telah menerbitkan perincian tentang kerentanan keamanan berperingkat “kritis” yang memengaruhi aplikasi Android-nya yang memungkinkan penyerang menanam malware dari jarak jauh di smartphone korban selama panggilan video.

Rincian cacat, dilacak sebagai CVE-2022-36934 dengan tingkat keparahan yang ditetapkan 9,8 dari 10, dijelaskan oleh WhatsApp sebagai bug integer overflow. Ini terjadi ketika aplikasi mencoba melakukan proses komputasi tetapi tidak memiliki ruang dalam memori yang dialokasikan, menyebabkan data tumpah dan menimpa bagian lain dari memori sistem dengan kode yang berpotensi berbahaya.

WhatsApp tidak membagikan detail lebih lanjut tentang bug tersebut. Tetapi firma riset keamanan Malwarebytes mengatakan dalam analisis teknisnya sendiri bahwa bug tersebut ditemukan di komponen aplikasi WhatsApp yang disebut “Video Call Handler,” yang jika dipicu akan memungkinkan penyerang mengambil kendali penuh atas aplikasi korban.

Juru bicara WhatsApp Joshua Breckman mengatakan kepada TechCrunch bahwa bug tersebut ditemukan di dalam perusahaan dan bahwa perusahaan telah melihat “tidak ada bukti eksploitasi”.

Kerentanan memori dengan peringkat kritis mirip dengan bug 2019, yang akhirnya disalahkan oleh WhatsApp pada pembuat spyware Israel NSO Group pada 2019 untuk menargetkan 1.400 ponsel korban, termasuk jurnalis, pembela hak asasi manusia, dan warga sipil lainnya. Serangan itu memanfaatkan bug dalam fitur panggilan audio WhatsApp yang memungkinkan penelepon menanam spyware di perangkat korban, terlepas dari apakah panggilan itu dijawab.

WhatsApp juga mengungkapkan rincian minggu ini tentang kerentanan lain, CVE-2022-27492, yang diberi peringkat “tinggi” dalam tingkat keparahan 7,8 dari 10, yang memungkinkan peretas menjalankan kode berbahaya pada perangkat iOS korban setelah mengirim file video jahat.

“Manipulasi dengan masukan yang tidak diketahui menyebabkan kerentanan kerusakan memori,” kata Pieter Arntz, seorang peneliti intelijen di Malwarebytes. “Untuk mengeksploitasi kerentanan ini, penyerang harus meletakkan file video yang dibuat di messenger WhatsApp pengguna dan meyakinkan pengguna untuk memainkannya.”

Kedua kekurangan tersebut ditambal di versi terbaru WhatsApp. Perbarui hari ini.