L'infurmazioni nantu à i critichi
(CVE-2019-3568) in l'applicazione mobile WhatsApp, chì vi permette di eseguisce u vostru codice mandendu una chjama di voce apposta. Per un attaccu successu, una risposta à una chjama maliziosa ùn hè micca necessariu; una chjama hè abbastanza. Tuttavia, una tale chjama spessu ùn appare micca in u logu di chjama è l'attaccu pò passà inosservatu da l'utilizatore.
A vulnerabilità ùn hè micca ligata à u protocolu Signal, ma hè causata da un buffer overflow in a pila VoIP specifica di WhatsApp. U prublema pò esse sfruttatu mandendu una serie apposta di pacchetti SRTCP à u dispusitivu di a vittima. A vulnerabilità afecta WhatsApp per Android (fissatu in 2.19.134), WhatsApp Business per Android (fissatu in 2.19.44), WhatsApp per iOS (2.19.51), WhatsApp Business per iOS (2.19.51), WhatsApp per Windows Phone ( 2.18.348) è WhatsApp per Tizen (2.18.15).
Curiosamente, in l'annu passatu WhatsApp è Facetime Project Zero anu attiratu l'attenzione à un difettu chì permette à i missaghji di cuntrollu assuciati à una chjama di voce per esse mandati è processati in u stadiu prima chì l'utilizatore accetta a chjama. WhatsApp hè statu cunsigliatu per sguassà sta funzione è hè statu dimustratu chì quandu si faci una prova di fuzzing, l'inviu di tali messagi porta à crashes di l'applicazione, i.e. Ancu l'annu passatu, era cunnisciutu chì ci sò pussibbili vulnerabili in u codice.
Dopu avè identificatu i primi tracci di cumprumissu di u dispositivu u venneri, l'ingegneri di Facebook cuminciaru à sviluppà un metudu di prutezzione, dumenica anu bluccatu a lacuna à u livellu di l'infrastruttura di u servitore utilizendu una soluzione, è u luni cuminciaru à distribuisce una aghjurnazione chì ripara u software di u cliente. Ùn hè ancu chjaru quanti dispositi sò stati attaccati cù a vulnerabilità. Solu un tentativu senza successu hè statu signalatu dumenica per cumprumette u smartphone di unu di l'attivisti di i diritti umani utilizendu un metudu chì ricorda a tecnulugia di u Gruppu NSO, è ancu un tentativu di attaccà u smartphone di un impiigatu di l'organizazione di i diritti umani Amnesty International.
U prublema era senza publicità inutile A cumpagnia israeliana NSO Group, chì hà sappiutu aduprà a vulnerabilità per installà spyware in smartphones per furnisce a vigilazione da l'agenzii di l'infurzazioni di a lege. NSO hà dettu chì scherma i clienti cù assai cura (travaglia solu cù l'agenzie di applicazione di a lege è di l'intelligenza) è investiga tutte e lagnanze di abusu. In particulare, un prucessu hè avà iniziatu in relazione à attacchi registrati in WhatsApp.
NSO nega l'implicazione in attacchi specifichi è dichjara solu per sviluppà a tecnulugia per l'agenzii di intelligenza, ma l'attivista di i diritti umani vittime hà intenzione di pruvà in tribunale chì a cumpagnia sparte a rispunsabilità cù i clienti chì abusanu di u software furnitu à elli, è vende i so prudutti à i servizii cunnisciuti per e so violazioni di i diritti umani.
Facebook hà iniziatu una investigazione nantu à u pussibule cumprumissu di i dispositi è a settimana passata hà spartutu in privatu i primi risultati cù u Dipartimentu di a Ghjustizia di i Stati Uniti, è hà ancu avvisatu parechje urganisazioni di i diritti umani nantu à u prublema per coordinà a sensibilizazione publica (ci sò circa 1.5 miliardi di installazioni WhatsApp in u mondu).
Source: opennet.ru