En envoyant un message trafiqué dans un groupe WhatsApp, il était possible faire crasher les applis de tous les membres qui étaient utilisateurs d’Android. Seule solution : supprimer le groupe en question et tout son contenu.
Les chercheurs de Check Point viennent de donner les détails techniques d’un message fatal capable de provoquer un plantage à répétition de l’application WhatsApp sur Android. Les versions iOS, en revanche, n’étaient pas vulnérables d’après l’éditeur (*).
Le bug résidait dans le protocole XMPP qui est utilisé par WhatsApp et qui définit pour chaque message un champ « participant ». Celui-ci commence forcément par le numéro de téléphone de l’utilisateur, suivi de la chaîne « @s.whatsapp.net ». Or, les chercheurs de Check Point ont développé une technique baptisée « WhatsApp Manipulation Tool » qui permet d’intercepter les échanges XMPP et de modifier à la volée le contenu des champs.
Une petite lettre qui fait tout dérailler
Vous devinez sans doute ce qu’ils ont fait, n’est-ce pas ? Ils ont envoyé un message dans un groupe WhatsApp tout en remplaçant le numéro de téléphone du champ « participant » par une simple lettre, provoquant le crash de l’appli chez tous les membres de ce groupe. Ce qui est puissant dans ce plantage, c’est qu’il est définitif. L’application se bloque à chaque réouverture.
La seule solution, c’est de réinstaller WhatsApp et de supprimer le groupe dans lequel le message toxique a été envoyé. Autrement dit, il suffit d’envoyer ce type de message dans un groupe WhatsApp pour le détruire à jamais. Toutes les données qui ont été écrites et partagées ne peuvent plus être récupérées par aucun des membres. Ci-dessous une vidéo de démonstration.
La bonne nouvelle, c’est que Check Point a alerté WhatsApp dès le mois d’août 2019 et que le bug a été corrigé en septembre. Pour se protéger contre les petits farceurs aux penchants destructeurs, il suffit de vérifier que l’on a bien la dernière version de l’application.
(*) Article mis à jour à 13h18. Contacté par 01net.com, WhatsApp nous a précisé que ce bug ne concernait que les versions Android de son application. Il a été corrigé avec la version 2.19.246.
Source : 01net