Informació sobre crítics
(CVE-2019-3568) a l'aplicació mòbil de WhatsApp, que us permet executar el vostre codi enviant una trucada de veu especialment dissenyada. Per a un atac reeixit, no és necessària una resposta a una trucada maliciosa; una trucada és suficient. Tanmateix, aquesta trucada sovint no apareix al registre de trucades i l'atac pot passar desapercebut per a l'usuari.
La vulnerabilitat no està relacionada amb el protocol Signal, sinó que és causada per un desbordament de memòria intermèdia a la pila VoIP específica de WhatsApp. El problema es pot aprofitar enviant una sèrie de paquets SRTCP especialment dissenyats al dispositiu de la víctima. La vulnerabilitat afecta WhatsApp per a Android (solucionat a 2.19.134), WhatsApp Business per a Android (solucionat a 2.19.44), WhatsApp per a iOS (2.19.51), WhatsApp Business per a iOS (2.19.51), WhatsApp per a Windows Phone ( 2.18.348) i WhatsApp per a Tizen (2.18.15).
Curiosament, l'any passat WhatsApp i Facetime Project Zero van cridar l'atenció sobre una fallada que permet que els missatges de control associats a una trucada de veu s'enviïn i processin en l'etapa abans que l'usuari accepti la trucada. Es va recomanar que WhatsApp elimines aquesta funció i es va demostrar que quan es realitza una prova de fuzzing, l'enviament d'aquest tipus de missatges provoca un bloqueig de l'aplicació, és a dir. Fins i tot l'any passat es va saber que hi havia vulnerabilitats potencials al codi.
Després d'identificar els primers rastres de compromís del dispositiu divendres, els enginyers de Facebook van començar a desenvolupar un mètode de protecció, diumenge van bloquejar l'escletxa a nivell d'infraestructura del servidor mitjançant una solució alternativa i dilluns van començar a distribuir una actualització que arreglava el programari del client. Encara no està clar quants dispositius van ser atacats mitjançant la vulnerabilitat. Diumenge només es va informar d'un intent infructuós de comprometre el telèfon intel·ligent d'un dels activistes dels drets humans mitjançant un mètode que recordava la tecnologia del grup NSO, així com un intent d'atacar el telèfon intel·ligent d'un empleat de l'organització de drets humans Amnistia Internacional.
El problema va ser sense publicitat innecessària L'empresa israeliana NSO Group, que va poder utilitzar la vulnerabilitat per instal·lar programari espia als telèfons intel·ligents per proporcionar vigilància per part de les forces de l'ordre. NSO va dir que examina els clients amb molta cura (només funciona amb les forces de l'ordre i les agències d'intel·ligència) i investiga totes les queixes d'abús. En concret, ara s'ha iniciat un judici relacionat amb atacs registrats a WhatsApp.
NSO nega la seva implicació en atacs específics i afirma només desenvolupar tecnologia per a les agències d'intel·ligència, però l'activista dels drets humans de la víctima pretén demostrar als tribunals que l'empresa comparteix la responsabilitat amb els clients que abusen del programari que se'ls proporciona i ven els seus productes a serveis coneguts per les seves violacions de drets humans.
Facebook va iniciar una investigació sobre el possible compromís dels dispositius i la setmana passada va compartir en privat els primers resultats amb el Departament de Justícia dels EUA, i també va notificar a diverses organitzacions de drets humans sobre el problema per coordinar la conscienciació pública (hi ha uns 1.5 milions d'instal·lacions de WhatsApp a tot el món).
Font: opennet.ru