معلومات عن حرجة
(CVE-2019-3568) في تطبيق WhatsApp للهاتف المحمول، والذي يسمح لك بتنفيذ التعليمات البرمجية الخاصة بك عن طريق إرسال مكالمة صوتية مصممة خصيصًا. لشن هجوم ناجح، لا يلزم الرد على مكالمة ضارة؛ فالمكالمة كافية. ومع ذلك، غالبًا لا تظهر مثل هذه المكالمة في سجل المكالمات وقد يمر الهجوم دون أن يلاحظه المستخدم.
لا تتعلق الثغرة الأمنية ببروتوكول Signal، ولكنها تنتج عن تجاوز سعة المخزن المؤقت في حزمة VoIP الخاصة بـ WhatsApp. يمكن استغلال المشكلة عن طريق إرسال سلسلة مصممة خصيصًا من حزم SRTCP إلى جهاز الضحية. تؤثر الثغرة الأمنية على WhatsApp لنظام Android (تم إصلاحه في 2.19.134)، وWhatsApp Business لنظام Android (تم إصلاحه في 2.19.44)، وWhatsApp لنظام iOS (2.19.51)، وWhatsApp Business لنظام iOS (2.19.51)، وWhatsApp لنظام Windows Phone ( 2.18.348) وواتساب لنظام تايزن (2.18.15).
ومن المثير للاهتمام، في العام الماضي ولفت واتساب وفيس تايم Project Zero إلى ثغرة تسمح بإرسال رسائل التحكم المرتبطة بمكالمة صوتية ومعالجتها في المرحلة التي تسبق قبول المستخدم للمكالمة. تمت التوصية على WhatsApp بإزالة هذه الميزة وتبين أنه عند إجراء اختبار التشويش، يؤدي إرسال مثل هذه الرسائل إلى تعطل التطبيق، أي تعطل التطبيق. وحتى العام الماضي، كان من المعروف أن هناك نقاط ضعف محتملة في الكود.
وبعد تحديد الآثار الأولى لاختراق الجهاز يوم الجمعة، بدأ مهندسو فيسبوك في تطوير طريقة حماية، ويوم الأحد قاموا بسد الثغرة على مستوى البنية التحتية للخادم باستخدام حل بديل، ويوم الاثنين بدأوا في توزيع تحديث يصلح برنامج العميل. ولم يتضح بعد عدد الأجهزة التي تعرضت للهجوم باستخدام الثغرة الأمنية. ولم يتم الإبلاغ سوى عن محاولة فاشلة يوم الأحد لاختراق الهاتف الذكي لأحد نشطاء حقوق الإنسان باستخدام طريقة تذكرنا بتكنولوجيا مجموعة NSO، بالإضافة إلى محاولة مهاجمة الهاتف الذكي لأحد موظفي منظمة العفو الدولية لحقوق الإنسان.
كانت المشكلة بدون دعاية غير ضرورية شركة NSO Group الإسرائيلية، والتي تمكنت من استخدام الثغرة الأمنية لتثبيت برامج تجسس على الهواتف الذكية لتوفير المراقبة من قبل وكالات إنفاذ القانون. وقالت NSO إنها تقوم بفحص العملاء بعناية شديدة (إنها تعمل فقط مع وكالات إنفاذ القانون والاستخبارات) وتحقق في جميع شكاوى سوء الاستخدام. وعلى وجه الخصوص، بدأت الآن تجربة تتعلق بالهجمات المسجلة على تطبيق WhatsApp.
وتنفي شركة NSO تورطها في هجمات محددة وتدعي فقط أنها تعمل على تطوير التكنولوجيا لوكالات الاستخبارات، لكن الناشط الحقوقي الضحية ينوي أن يثبت أمام المحكمة أن الشركة تتقاسم المسؤولية مع العملاء الذين يسيئون استخدام البرامج المقدمة لهم، وباعوا منتجاتها إلى خدمات معروفة بـ انتهاكات حقوق الإنسان الخاصة بهم.
بدأ فيسبوك تحقيقًا في الاختراق المحتمل للأجهزة، وشارك الأسبوع الماضي النتائج الأولية بشكل خاص مع وزارة العدل الأمريكية، وأخطر أيضًا العديد من منظمات حقوق الإنسان بالمشكلة لتنسيق الوعي العام (هناك حوالي 1.5 مليار تثبيت لتطبيق WhatsApp في جميع أنحاء العالم).
المصدر: opennet.ru