ስለ ወሳኝ መረጃ
(CVE-2019-3568) በዋትስአፕ የሞባይል አፕሊኬሽን ውስጥ፣ ይህም ኮድዎን በልዩ ሁኔታ የተቀየሰ የድምጽ ጥሪ በመላክ እንዲፈጽሙ ያስችልዎታል። ለተሳካ ጥቃት ለተንኮል አዘል ጥሪ ምላሽ አያስፈልግም፤ ጥሪው በቂ ነው። ይሁን እንጂ እንዲህ ዓይነቱ ጥሪ ብዙውን ጊዜ በጥሪ ምዝግብ ማስታወሻ ውስጥ አይታይም እና ጥቃቱ በተጠቃሚው ሳይስተዋል አይቀርም.
ተጋላጭነቱ ከሲግናል ፕሮቶኮል ጋር የተገናኘ አይደለም፣ ነገር ግን በዋትስአፕ-ተኮር የቪኦአይፒ ቁልል ውስጥ ባለው ቋት በመፍሰሱ ነው። በልዩ ሁኔታ የተነደፉ ተከታታይ የ SRTCP ፓኬጆችን ወደ ተጎጂው መሣሪያ በመላክ ችግሩን መጠቀም ይቻላል። ተጋላጭነቱ በዋትስአፕ ለአንድሮይድ (በ2.19.134 የተስተካከለ)፣ WhatsApp ቢዝነስ ለአንድሮይድ (በ2.19.44 ቋሚ)፣ WhatsApp ለ iOS (2.19.51)፣ WhatsApp ቢዝነስ ለ iOS (2.19.51)፣ WhatsApp ለዊንዶውስ ፎን (የተስተካከለ) ላይ ተጽእኖ ይኖረዋል። 2.18.348) እና WhatsApp ለ Tizen (2.18.15).
የሚገርመው፣ ባለፈው ዓመት ውስጥ WhatsApp እና Facetime ፕሮጀክት ዜሮ ተጠቃሚው ጥሪውን ከመቀበሉ በፊት ከድምጽ ጥሪ ጋር የተገናኙ የቁጥጥር መልዕክቶች እንዲላኩ እና እንዲሰሩ ወደ ሚፈቅድ ጉድለት ትኩረት ስቧል። ዋትስአፕ ይህን ባህሪ እንዲያስወግድ ይመከራል እና አሻሚ ሙከራ ሲያካሂዱ እንደዚህ አይነት መልዕክቶችን መላክ ወደ አፕሊኬሽን ብልሽት እንደሚያመራ ታይቷል፣ ማለትም። ባለፈው ዓመት እንኳን በኮዱ ውስጥ ሊሆኑ የሚችሉ ተጋላጭነቶች እንዳሉ ይታወቅ ነበር.
የፌስቡክ መሐንዲሶች አርብ እለት የመጀመርያውን የመሳሪያ ስምምነትን ፍንጭ ካወቁ በኋላ የጥበቃ ዘዴን ማዘጋጀት የጀመሩ ሲሆን እሁድ እለት በአገልጋይ መሠረተ ልማት ደረጃ ላይ ያለውን ክፍተት በመዝጋት መፍትሄ በማግኘታቸው ሰኞ እለት የደንበኛውን ሶፍትዌር የሚያስተካክል ዝማኔ ማሰራጨት ጀመሩ። ተጋላጭነቱን ተጠቅመው ምን ያህል መሳሪያዎች እንደተጠቁ እስካሁን ግልፅ አይደለም። የኤንኤስኦ ግሩፕ ቴክኖሎጂን የሚያስታውስ ዘዴን እንዲሁም የሰብአዊ መብት ተሟጋች ድርጅት አምነስቲ ኢንተርናሽናልን ሰራተኛ ስማርት ፎን ላይ ለማጥቃት የተደረገ ሙከራ ከሰብአዊ መብት ተሟጋቾች የአንዱን ስማርት ስልክ ለማላላት እሁድ እለት ያልተሳካ ሙከራ ብቻ ተዘግቧል።
ችግሩ ያለ አላስፈላጊ ማስታወቂያ ነበር። የእስራኤል ኩባንያ ኤንኤስኦ ግሩፕ፣ ተጋላጭነቱን ተጠቅሞ ስፓይዌሮችን በስማርት ፎኖች ላይ በመትከል የህግ አስከባሪ ኤጀንሲዎችን ክትትል ማድረግ የቻለው። NSO ደንበኞችን በጣም በጥንቃቄ እንደሚያጣራ (ከህግ አስከባሪ እና ከስለላ ኤጀንሲዎች ጋር ብቻ ይሰራል) እና ሁሉንም የመጎሳቆል ቅሬታዎችን ይመረምራል ብሏል። በተለይም አሁን በዋትስአፕ ላይ ከተመዘገቡ ጥቃቶች ጋር በተያያዘ ሙከራ ተጀመረ።
ኤንኤስኦ በተወሰኑ ጥቃቶች ላይ ተሳትፎ እንደሌለው እና ለስለላ ኤጀንሲዎች ቴክኖሎጂን ማዳበር ብቻ ነው ሲል ይክዳል፣ ነገር ግን ተጎጂው የሰብአዊ መብት ተሟጋች ኩባንያው የተሰጠውን ሶፍትዌር አላግባብ ለሚጠቀሙ ደንበኞች እንደሚጋራ እና ምርቶቹን ለታወቁ አገልግሎቶች እንደሚሸጥ በፍርድ ቤት ለማሳየት አስቧል። የሰብአዊ መብት ጥሰታቸው።
ፌስቡክ በመሳሪያዎች ላይ ሊደርስ ይችላል የሚለውን ምርመራ የጀመረ ሲሆን ባለፈው ሳምንት የመጀመሪያውን ውጤት ለአሜሪካ የፍትህ ሚኒስቴር በግል አጋርቷል እንዲሁም የህዝቡን ግንዛቤ ለማስተባበር ስለችግሩ በርካታ የሰብአዊ መብት ተሟጋች ድርጅቶችን አሳውቋል (በአለም ዙሪያ ወደ 1.5 ቢሊዮን የዋትስአፕ ጭነቶች አሉ።)
ምንጭ: opennet.ru