Informacije o kritičnim
(CVE-2019-3568) u mobilnoj aplikaciji WhatsApp, koja vam omogućava da izvršite svoj kod slanjem posebno dizajniranog glasovnog poziva. Za uspješan napad, odgovor na zlonamjerni poziv nije dovoljan; Međutim, takav poziv se često ne pojavljuje u evidenciji poziva i napad može proći nezapaženo od strane korisnika.
Ranjivost nije povezana sa protokolom Signal, već je uzrokovana prelivom bafera u VoIP steku specifičnom za WhatsApp. Problem se može iskoristiti slanjem posebno dizajnirane serije SRTCP paketa na uređaj žrtve. Ranjivost pogađa WhatsApp za Android (popravljen u 2.19.134), WhatsApp Business za Android (popravljen u 2.19.44), WhatsApp za iOS (2.19.51), WhatsApp Business za iOS (2.19.51), WhatsApp za Windows Phone ( 2.18.348) i WhatsApp za Tizen (2.18.15).
Zanimljivo, u prošlogodišnjem WhatsApp i Facetime Project Zero skrenuli su pažnju na nedostatak koji omogućava slanje i obradu kontrolnih poruka povezanih s glasovnim pozivom u fazi prije nego što korisnik prihvati poziv. WhatsApp-u je preporučeno da ukloni ovu funkciju i pokazalo se da prilikom provođenja fuzzing testa slanje ovakvih poruka dovodi do pada aplikacije, tj. Još prošle godine se znalo da postoje potencijalne ranjivosti u kodu.
Nakon što su u petak identifikovali prve tragove kompromitovanja uređaja, Facebook inženjeri su počeli da razvijaju metod zaštite, u nedelju su blokirali rupu na nivou serverske infrastrukture koristeći zaobilazno rešenje, a u ponedeljak su počeli da distribuiraju ažuriranje koje je popravilo klijentski softver. Još uvijek nije jasno koliko je uređaja napadnuto korištenjem ranjivosti. U nedjelju je zabilježen samo neuspješan pokušaj kompromitovanja pametnog telefona jednog od aktivista za ljudska prava metodom koja podsjeća na tehnologiju grupe NSO, kao i pokušaj napada na pametni telefon uposlenice organizacije za ljudska prava Amnesty International.
Problem je bio bez nepotrebnog publiciteta Izraelska kompanija NSO Group, koja je uspjela iskoristiti ranjivost za instaliranje špijunskog softvera na pametne telefone kako bi osigurala nadzor od strane agencija za provođenje zakona. NSO je rekao da vrlo pažljivo provjerava klijente (radi samo sa agencijama za provođenje zakona i obavještajnim službama) i istražuje sve pritužbe na zlostavljanje. Konkretno, sada je pokrenuto suđenje u vezi s zabilježenim napadima na WhatsApp.
NSO negira umiješanost u konkretne napade i tvrdi samo da razvija tehnologiju za obavještajne agencije, ali žrtva aktivista za ljudska prava namjerava na sudu dokazati da kompanija dijeli odgovornost sa klijentima koji zloupotrebljavaju softver koji im je dat, a svoje proizvode prodaju uslugama poznatim po njihova kršenja ljudskih prava.
Facebook je pokrenuo istragu o mogućem kompromitovanju uređaja i prošle sedmice je privatno podijelio prve rezultate sa Ministarstvom pravde SAD-a, a također je obavijestio nekoliko organizacija za ljudska prava o problemu radi koordinacije javne svijesti (postoji oko 1.5 milijardi WhatsApp instalacija širom svijeta).
izvor: opennet.ru