Inligting oor kritieke
(CVE-2019-3568) in die WhatsApp-mobiele toepassing, wat jou toelaat om jou kode uit te voer deur 'n spesiaal ontwerpte stemoproep te stuur. Vir 'n suksesvolle aanval word 'n reaksie op 'n kwaadwillige oproep nie vereis nie; 'n oproep is voldoende. So 'n oproep verskyn egter dikwels nie in die oproeplogboek nie en die aanval kan ongemerk deur die gebruiker verbygaan.
Die kwesbaarheid hou nie verband met die seinprotokol nie, maar word veroorsaak deur 'n bufferoorloop in die WhatsApp-spesifieke VoIP-stapel. Die probleem kan uitgebuit word deur 'n spesiaal ontwerpte reeks SRTCP-pakkies na die slagoffer se toestel te stuur. Die kwesbaarheid raak WhatsApp vir Android (vasgestel in 2.19.134), WhatsApp Business vir Android (reggestel in 2.19.44), WhatsApp vir iOS (2.19.51), WhatsApp Business vir iOS (2.19.51), WhatsApp vir Windows Phone ( 2.18.348) en WhatsApp vir Tizen (2.18.15).
Interessant genoeg, in verlede jaar s'n WhatsApp en Facetime Project Zero het die aandag gevestig op 'n fout wat toelaat dat beheerboodskappe wat met 'n stemoproep geassosieer word, gestuur en verwerk word op die stadium voordat die gebruiker die oproep aanvaar. WhatsApp is aanbeveel om hierdie kenmerk te verwyder en dit is getoon dat wanneer 'n fuzzing-toets uitgevoer word, die stuur van sulke boodskappe lei tot toepassing-ongelukke, d.w.s. Selfs verlede jaar was dit bekend dat daar potensiële kwesbaarhede in die kode was.
Nadat hulle Vrydag die eerste spore van toestelkompromie geïdentifiseer het, het Facebook-ingenieurs 'n beskermingsmetode begin ontwikkel, Sondag het hulle die skuiwergat op die bedienerinfrastruktuurvlak geblokkeer deur 'n oplossing te gebruik, en Maandag het hulle 'n opdatering begin versprei wat die kliëntsagteware reggemaak het. Dit is nog nie duidelik hoeveel toestelle deur die kwesbaarheid aangeval is nie. Die enigste berigte wat aangemeld is, was ’n onsuksesvolle poging Sondag om die slimfoon van een van die menseregte-aktiviste te kompromitteer deur ’n metode te gebruik wat aan NSO Group-tegnologie herinner, asook ’n poging om die slimfoon van ’n werknemer van die menseregte-organisasie Amnesty International aan te val.
Die probleem was sonder onnodige publisiteit Israeliese maatskappy NSO Group, wat die kwesbaarheid kon gebruik om spyware op slimfone te installeer om toesig deur wetstoepassingsagentskappe te verskaf. NSO het gesê hy sift kliënte baie noukeurig (dit werk net met wetstoepassing en intelligensie-agentskappe) en ondersoek alle klagtes van misbruik. Veral 'n verhoor is nou begin wat verband hou met aangetekende aanvalle op WhatsApp.
NSO ontken betrokkenheid by spesifieke aanvalle en beweer slegs om tegnologie vir intelligensie-agentskappe te ontwikkel, maar die slagoffer-menseregte-aktivis beoog om in die hof te bewys dat die maatskappy verantwoordelikheid deel met kliënte wat die sagteware wat aan hulle verskaf word misbruik, en sy produkte verkoop het aan dienste wat bekend is vir hul menseregteskendings.
Facebook het ’n ondersoek na die moontlike kompromie van toestelle begin en het verlede week die eerste resultate privaat met die Amerikaanse departement van justisie gedeel, en ook verskeie menseregte-organisasies in kennis gestel van die probleem om openbare bewustheid te koördineer (daar is sowat 1.5 miljard WhatsApp-installasies wêreldwyd).
Bron: opennet.ru