Gwybodaeth am feirniadol
(CVE-2019-3568) yn y cymhwysiad symudol WhatsApp, sy'n eich galluogi i weithredu'ch cod trwy anfon galwad llais a ddyluniwyd yn arbennig. Ar gyfer ymosodiad llwyddiannus, nid oes angen ymateb i alwad maleisus; mae galwad yn ddigon. Fodd bynnag, yn aml nid yw galwad o'r fath yn ymddangos yn y log galwadau ac efallai na fydd y defnyddiwr yn sylwi ar yr ymosodiad.
Nid yw'r bregusrwydd yn gysylltiedig Γ’'r protocol Signal, ond fe'i hachosir gan orlif byffer yn y stac VoIP penodol i WhatsApp. Gellir manteisio ar y broblem trwy anfon cyfres o becynnau SRTCP a ddyluniwyd yn arbennig i ddyfais y dioddefwr. Mae'r bregusrwydd yn effeithio ar WhatsApp ar gyfer Android (sefydlog yn 2.19.134), WhatsApp Business for Android (sefydlog yn 2.19.44), WhatsApp ar gyfer iOS (2.19.51), WhatsApp Business ar gyfer iOS (2.19.51), WhatsApp ar gyfer Windows Phone ( 2.18.348) a WhatsApp ar gyfer Tizen (2.18.15).
Yn ddiddorol, yn y llynedd Tynnodd WhatsApp a Facetime Project Zero sylw at ddiffyg sy'n caniatΓ‘u i negeseuon rheoli sy'n gysylltiedig Γ’ galwad llais gael eu hanfon a'u prosesu yn y cam cyn i'r defnyddiwr dderbyn yr alwad. Argymhellwyd bod WhatsApp yn cael gwared ar y nodwedd hon a dangoswyd, wrth gynnal prawf niwlog, bod anfon negeseuon o'r fath yn arwain at ddamweiniau cais, h.y. Hyd yn oed y llynedd roedd yn hysbys bod gwendidau posibl yn y cod.
Ar Γ΄l nodi'r olion cyntaf o gyfaddawdu dyfeisiau ddydd Gwener, dechreuodd peirianwyr Facebook ddatblygu dull amddiffyn, ddydd Sul fe wnaethant rwystro'r bwlch ar lefel seilwaith y gweinydd gan ddefnyddio datrysiad, a dydd Llun dechreuon nhw ddosbarthu diweddariad a oedd yn trwsio meddalwedd y cleient. Nid yw'n glir eto faint o ddyfeisiau yr ymosodwyd arnynt gan ddefnyddio'r bregusrwydd. Dim ond ymgais aflwyddiannus a adroddwyd ddydd Sul i gyfaddawdu ffΓ΄n clyfar un oβr gweithredwyr hawliau dynol gan ddefnyddio dull syβn atgoffa rhywun o dechnoleg NSO Group, yn ogystal ag ymgais i ymosod ar ffΓ΄n clyfar un o weithwyr y sefydliad hawliau dynol Amnest Rhyngwladol.
Roedd y broblem heb gyhoeddusrwydd diangen Cwmni Israel NSO Group, a oedd yn gallu defnyddio'r bregusrwydd i osod ysbΓ―wedd ar ffonau smart i ddarparu gwyliadwriaeth gan asiantaethau gorfodi'r gyfraith. Dywedodd NSO ei fod yn sgrinio cwsmeriaid yn ofalus iawn (dim ond gydag asiantaethau gorfodi'r gyfraith a chudd-wybodaeth y mae'n gweithio) ac yn ymchwilio i bob cwyn o gam-drin. Yn benodol, mae treial bellach wedi'i gychwyn yn ymwneud ag ymosodiadau a gofnodwyd ar WhatsApp.
Mae NSO yn gwadu cymryd rhan mewn ymosodiadau penodol ac yn honni ei fod yn datblygu technoleg ar gyfer asiantaethau cudd-wybodaeth yn unig, ond mae'r actifydd hawliau dynol dioddefwyr yn bwriadu profi yn y llys bod y cwmni'n rhannu cyfrifoldeb gyda chleientiaid sy'n camddefnyddio'r feddalwedd a ddarperir iddynt, ac yn gwerthu ei gynhyrchion i wasanaethau sy'n hysbys amdanynt. eu troseddau hawliau dynol.
Cychwynnodd Facebook ymchwiliad i gyfaddawd posibl dyfeisiau a'r wythnos diwethaf rhannodd y canlyniadau cyntaf yn breifat ag Adran Gyfiawnder yr UD, a hysbysodd sawl sefydliad hawliau dynol hefyd am y broblem i gydlynu ymwybyddiaeth y cyhoedd (mae tua 1.5 biliwn o osodiadau WhatsApp ledled y byd).
Ffynhonnell: opennet.ru