Informace o kritických
Tato zranitelnost nesouvisí s protokolem Signal, ale je způsobena přetečením vyrovnávací paměti v zásobníku VoIP specifickém pro WhatsApp. Problém lze zneužít odesláním speciálně navržené série paketů SRTCP do zařízení oběti. Chyba zabezpečení se týká aplikací WhatsApp pro Android (opraveno v 2.19.134), WhatsApp Business pro Android (opraveno v 2.19.44), WhatsApp pro iOS (2.19.51), WhatsApp Business pro iOS (2.19.51), WhatsApp pro Windows Phone ( 2.18.348) a WhatsApp pro Tizen (2.18.15).
Zajímavé je, že v loňském roce
Poté, co v pátek identifikovali první stopy kompromitace zařízení, inženýři Facebooku začali vyvíjet metodu ochrany, v neděli zablokovali mezeru na úrovni serverové infrastruktury pomocí řešení a v pondělí začali distribuovat aktualizaci, která opravila klientský software. Zatím není jasné, kolik zařízení bylo pomocí této chyby zabezpečení napadeno. V neděli byl hlášen pouze neúspěšný pokus o kompromitaci smartphonu jednoho z lidskoprávních aktivistů metodou připomínající technologii NSO Group a také pokus o napadení smartphonu zaměstnance lidskoprávní organizace Amnesty International.
Problém byl bez zbytečné publicity
NSO popírá, že by se podílel na konkrétních útocích a tvrdí, že jde pouze o vývoj technologií pro zpravodajské agentury, ale oběť lidskoprávního aktivisty hodlá u soudu dokázat, že společnost sdílí odpovědnost s klienty, kteří zneužívají software, který jim byl poskytnut, a prodávali své produkty službám známým jejich porušování lidských práv.
Facebook zahájil vyšetřování možného kompromitování zařízení a minulý týden soukromě sdílel první výsledky s americkým ministerstvem spravedlnosti a také o problému informoval několik lidskoprávních organizací, aby koordinovaly povědomí veřejnosti (na celém světě je asi 1.5 miliardy instalací WhatsApp).
Zdroj: opennet.ru