一位独立研究员，Indrajeet Bhuyan报告了存在于WhatsApp中的一个新漏洞，通过利用该漏洞，任何人都可以远程使WhatsApp崩溃，而他们需要做的仅仅是向目标用户发送将近4000个表情符号。该漏洞影响全球约10亿WhatsApp用户。

4000个表情就能使WhatsApp崩溃

为了使广受欢迎的消息应用WhatsApp崩溃，我们都需要做什么呢？其实很简单，仅仅需要将近4000个微笑表情符号即可使其崩溃，包括WhatsApp Web版和移动APP。是的，仅仅通过向你朋友的WhatsApp上发送微笑表情符号，你就可以使他的WhatsApp崩溃，包括WhatsApp Web版本和移动应用。

一位独立研究员，Indrajeet Bhuyan报告了存在于WhatsApp中的一个新漏洞，通过利用该漏洞，任何人都可以远程使WhatsApp崩溃，而他们需要做的仅仅是向目标用户发送将近4000个表情符号。此外，该漏洞影响全球约10亿WhatsApp用户。

崩溃漏洞原理

Bhuyan去年报告了WhatsApp的一个崩溃漏洞，该漏洞只需要将2000个单词（2kb大小）的特殊字符消息发送到对方，这样就能远程崩溃WhatsApp应用程序(Freebuf相关报道)。在这一发现后，通过设置WhatsApp短消息中的字符数限制，该公司修复了这个漏洞。然而不幸的是，那次修复却未能限制WhatsApp消息中笑脸表情符号的数量。

Bhuyan在他的博文中写道：

”在WhatsApp Web中，WhatsApp允许65500—6600个字符，但在输入约4200—4400个笑脸时，浏览器反应开始变慢。但是，由于当前消息数量尚未达到其限制，所以WhatsApp仍然允许继续插入…当它收到更多表情符号时，就会造成缓冲区溢出并最终崩溃。”

最近，通过在多个不同品牌的安卓设备上测试该漏洞，最终都成功使WhatsApp崩溃：

1、WhatsApp运行的安卓系统版本包括Marshmallow（6.0）、Lollipop（5.0）和Kitkat（4.4）。
2、WhatsApp Web版本，针对Chrome、Opera和Firefox浏览器。

确定的是，最新版本的WhatsApp仍然受这个漏洞的影响。

视频演示

你也可以观看下面的POC视频，视频中演示了这种攻击能够正常工作。

如何保护自己

根据Bhuyan透露，他已经将此WhatsApp崩溃漏洞报告给了Facebook。然而，在该公司发布漏洞补丁之前，有一个简单的办法能够防止自己的WhatsApp被攻击而崩溃。

如果你成为这类WhatsApp消息的受害者，只需要打开你的信使，并删除此发件人及和他的整个会话。然而，请记住，如果你之前保存了与那个好友的一些聊天记录，那么此时这些记录将全部被删除。

在今年年初，Bhuyan还报告了两个单独的漏洞—WhatsApp照片隐私漏洞和WhatsApp Web照片同步漏洞—在WhatsApp Web客户端上，以某种方式能够暴露用户隐私（Freebuf相关报道）。

*参考来源：THN、SecurityAffairs， JackFree编译，有适当修改，转载请注明来自FreeBuf黑客与极客（FreeBuf.com）