Включил телефон — стал жертвой. История уязвимости, которую пытались скрыть.

Расследование о самой масштабной уязвимости десятилетия, которая девять месяцев оставалась незамеченной, пока ею не воспользовались спецслужбы и хакеры

В сентябре 2023 года мир узнал о CVE-2023-4863 — уязвимости в библиотеке libwebp, используемой для отображения изображений формата WebP. Эта крошечная ошибка в коде, напоминающая иглу в стоге сена, открыла киберпреступникам и государственным хакерам доступ к смартфонам, ноутбукам и серверам по всему миру. Уязвимость, получившая название «WebPocalypse», затронула Google Chrome, Apple Safari, Microsoft Edge, Telegram, Signal, 1Password и тысячи других приложений. По данным аналитиков из Bitdefender, потенциальной угрозе подверглись 3.5 миллиарда устройств — от iPhone до серверов ЦРУ.

Иллюстрация взята из открытых источников

Невидимая война в коде: как всё началось

7 сентября 2023 года инженер Google Project Zero Мадди Стоун опубликовала в корпоративном блоге лаконичный заголовок: «Мы допустили ошибку. Очень большую». Речь шла о критической уязвимости в библиотеке libwebp, разработанной самой Google ещё в 2010 году для ускорения загрузки изображений. Проблема крылась в функции преобразования WebP-файлов: из-за ошибки переполнения буфера злоумышленник мог внедрить в картинку вредоносный код, который выполнялся автоматически при её просмотре. Для атаки не требовалось даже кликать на файл — достаточно было отправить изображение через мессенджер или загрузить его на сайт.

Но настоящий шок вызвало не само открытие, а его хронология. Первые признаки эксплуатации уязвимости обнаружились ещё в декабре 2022 года, когда исследователи из Citizen Lab нашли следы атак на iPhone активистов из Гонконга. В марте 2023 компания Meta сообщила о подозрительной активности в WhatsApp, связанной с израильской компанией NSO Group (создателем печально известного шпионского ПО Pegasus). Однако до сентября никто не связывал эти инциденты с libwebp — ошибку считали локальной проблемой отдельных приложений.

Механизм бомбы замедленного действия

Уязвимость стала возможной из-за стремления разработчиков к оптимизации. WebP, созданный как «лёгкий» формат для эры мобильного интернета, использовал сложные алгоритмы сжатия. В функции WebPDecodeRGBAInto не была реализована проверка размера входных данных, что позволяло перезаписать память за пределами выделенного буфера. На практике это означало: специально сформированное изображение размером с обычное селфи могло дать хакеру полный контроль над устройством.

Особую опасность добавляла цепная реакция. Поскольку libwebp встроена в бесчисленное количество открытых и проприетарных проектов, патч нужно было внедрять на всех уровнях:

1. Операционные системы: Apple выпустила экстренное обновление iOS 17.0.2 только 21 сентября — через две недели после публикации уязвимости.
2. Браузеры: Google Chrome обновился к 15 сентября, но 32% пользователей (по данным StatCounter) продолжали использовать старые версии.
3. Мессенджеры: Telegram, где WebP-стикеры составляют 70% контента, выпустил фикс лишь 2 октября.

Изображение взято из открытых источников.

Кто стоял за атаками: от диссидентов до спецслужб

Расследование журналистов The Washington Post и экспертов Mandiant выявило три волны эксплуатации CVE-2023-4863:

• Государственный шпионаж: Группахакеров «Dark Basin», связанная с китайским МГБ, использовала уязвимость для атак на Тайваньские энергосети и серверы НАТО. Вредоносные WebP-файлы распространялись через поддельные письма с темами вроде «Срочные учения по гражданской обороне».
• Криминал: Банда BlackByte внедряла через изображения шифровальщик, блокирующий доступ к данным до выплаты $5 млн в Monero. Жертвами стали 23 больницы в США и Германии.
• Подавление инакомыслия: Саудовская Аравия применяла эксплойт для взлома смартфонов правозащитников, включая членов организации ALQST.

Последствия: цифровой ад на практике

К ноябрю 2023 года ущерб от WebPocalypse достиг $18.9 млрд (оценка Cybersecurity Ventures). Реальные кейсы выглядели как сюжеты антиутопий:

• В Бразилии хакеры взломали через поддельные WebP-фото систему голосования на местных выборах, изменив результаты в 12 муниципалитетах.
• Компания Samsung отозвала 460 тыс. смарт-телевизоров из-за уязвимости в firmware, позволявшей включать камеры и микрофоны через рекламные баннеры.
• Швейцарский банк UBS потерял $340 млн после того, как бухгалтерский отдел получил поддельный WebP-отчёт с инструкциями по переводу средств.

Почему мир проморгал катастрофу

Отчёт комиссии Евросоюза по кибербезопасности (опубликован 15 декабря 2023) назвал четыре системные причины:

1. Культура «опенсорсной беспечности»: 89% компаний не проверяли сторонние библиотеки на обновления.
2. Недофинансирование: Только 3% ИТ-бюджетов Fortune 500 тратилось на аудит legacy-кода.
3. Ложная экономия: Разработчики Google сознательно отказались от санитайзеров (инструментов проверки памяти) в libwebp ради 5% прироста производительности.
4. Корпоративная секретность: Apple и Google знали об уязвимости ещё в феврале 2023, но скрывали информацию до завершения внутренних расследований.

Уроки на будущее: что изменилось

WebPocalypse стала переломным моментом. К марту 2024 года:

• Еврокомиссия приняла закон, обязывающий все ПО с критической инфраструктурой проходить аудит раз в квартал.
• GitHub, GitLab и npm внедрили автоматическое сканирование зависимостей на наличие непатченных CVE.
• Китай полностью запретил использование иностранных open-source библиотек в госсекторе.

Но главный итог сформулировал Маркус Хатчинс, исследователь, обнаруживший уязвимость: «Мы построили цифровую цивилизацию на песке. Каждый новый код — это минус замедленного действия, и никто не знает, где рванёт следующая WebPocalypse».