Impormasyon bahin sa kritikal
(CVE-2019-3568) sa WhatsApp mobile application, nga nagtugot kanimo sa pagpatuman sa imong code pinaagi sa pagpadala sa usa ka espesyal nga gidisenyo nga voice call. Alang sa usa ka malampuson nga pag-atake, usa ka tubag sa usa ka malisyosong tawag dili kinahanglan; usa ka tawag igo na. Bisan pa, ang ingon nga tawag kanunay dili makita sa log sa tawag ug ang pag-atake mahimong dili mamatikdan sa tiggamit.
Ang pagkahuyang wala'y kalabutan sa Signal protocol, apan tungod sa usa ka buffer overflow sa WhatsApp-specific VoIP stack. Ang problema mahimong mapahimuslan pinaagi sa pagpadala sa usa ka espesyal nga gidisenyo nga serye sa mga pakete sa SRTCP ngadto sa device sa biktima. Ang pagkahuyang makaapekto sa WhatsApp alang sa Android (naayo sa 2.19.134), WhatsApp Business alang sa Android (naayo sa 2.19.44), WhatsApp alang sa iOS (2.19.51), WhatsApp Business alang sa iOS (2.19.51), WhatsApp alang sa Windows Phone ( 2.18.348) ug WhatsApp para sa Tizen (2.18.15).
Makapainteres, sa miaging tuig Ang WhatsApp ug Facetime Project Zero nagdani sa pagtagad sa usa ka sayup nga nagtugot sa pagkontrol sa mga mensahe nga may kalabutan sa usa ka voice call nga ipadala ug maproseso sa entablado sa dili pa dawaton sa user ang tawag. Girekomenda ang WhatsApp nga tangtangon kini nga bahin ug gipakita nga kung nagpahigayon usa ka naglibog nga pagsulay, ang pagpadala sa ingon nga mga mensahe nagdala sa mga pag-crash sa aplikasyon, i.e. Bisan sa miaging tuig nahibal-an nga adunay mga potensyal nga kahuyangan sa code.
Human mahibal-an ang unang mga pagsubay sa pagkompromiso sa device niadtong Biyernes, ang mga inhenyero sa Facebook nagsugod sa paghimo og pamaagi sa pagpanalipod, sa Domingo ilang gibabagan ang loophole sa lebel sa imprastraktura sa server gamit ang workaround, ug sa Lunes nagsugod sila sa pag-apod-apod sa usa ka update nga nag-ayo sa software sa kliyente. Dili pa klaro kung pila ang mga aparato nga giatake gamit ang pagkahuyang. Usa ra ka wala molampos nga pagsulay ang gitaho kaniadtong Domingo aron ikompromiso ang smartphone sa usa sa mga aktibista sa tawhanong katungod gamit ang pamaagi nga nagpahinumdom sa teknolohiya sa NSO Group, ingon man usa ka pagsulay sa pag-atake sa smartphone sa usa ka empleyado sa organisasyon sa tawhanong katungod nga Amnesty International.
Ang problema kay walay wala kinahanglana nga publisidad Ang Israeli nga kompanya nga NSO Group, nga nakahimo sa paggamit sa kahuyang sa pag-install sa spyware sa mga smartphone aron mahatagan og surveillance sa mga ahensya nga nagpatuman sa balaod. Ang NSO miingon nga kini nagsusi sa mga kustomer pag-ayo (kini nagtrabaho lamang sa mga tigpatuman sa balaod ug mga ahensya sa paniktik) ug nag-imbestiga sa tanang mga reklamo sa pag-abuso. Sa partikular, gisugdan na karon ang usa ka pagsulay nga may kalabotan sa natala nga mga pag-atake sa WhatsApp.
Gipanghimakak sa NSO ang pagkalambigit sa piho nga mga pag-atake ug giangkon lamang sa pagpalambo sa teknolohiya alang sa mga ahensya sa paniktik, apan ang biktima nga aktibista sa tawhanong katungod nagtinguha nga pamatud-an sa korte nga ang kompanya adunay responsibilidad sa mga kliyente nga nag-abuso sa software nga gihatag kanila, ug gibaligya ang mga produkto niini sa mga serbisyo nga nahibal-an ilang mga paglapas sa tawhanong katungod.
Gisugdan sa Facebook ang usa ka imbestigasyon sa posible nga pagkompromiso sa mga aparato ug kaniadtong miaging semana pribado nga gipaambit ang una nga mga resulta sa US Department of Justice, ug gipahibalo usab ang daghang mga organisasyon sa tawhanong katungod bahin sa problema sa pag-coordinate sa kahibalo sa publiko (adunay mga 1.5 bilyon nga pag-install sa WhatsApp sa tibuuk kalibutan).
Source: opennet.ru