Information om kritiske
(CVE-2019-3568) i WhatsApp-mobilapplikationen, som giver dig mulighed for at udføre din kode ved at sende et specielt designet taleopkald. For et vellykket angreb er et svar på et ondsindet opkald ikke nødvendigt. Et sådant opkald vises dog ofte ikke i opkaldsloggen, og angrebet kan forblive ubemærket af brugeren.
Sårbarheden er ikke relateret til signalprotokollen, men er forårsaget af et bufferoverløb i den WhatsApp-specifikke VoIP-stak. Problemet kan udnyttes ved at sende en specialdesignet serie af SRTCP-pakker til ofrets enhed. Sårbarheden påvirker WhatsApp til Android (rettet i 2.19.134), WhatsApp Business til Android (rettet i 2.19.44), WhatsApp til iOS (2.19.51), WhatsApp Business til iOS (2.19.51), WhatsApp til Windows Phone ( 2.18.348) og WhatsApp til Tizen (2.18.15).
Interessant nok i sidste års WhatsApp og Facetime Project Zero henledte opmærksomheden på en fejl, der gør det muligt at sende og behandle kontrolbeskeder, der er forbundet med et stemmeopkald, på tidspunktet før brugeren accepterer opkaldet. WhatsApp blev anbefalet at fjerne denne funktion, og det blev vist, at når man udfører en fuzzing-test, fører afsendelse af sådanne beskeder til programnedbrud, dvs. Allerede sidste år vidste man, at der var potentielle sårbarheder i koden.
Efter at have identificeret de første spor af enhedskompromis i fredags, begyndte Facebooks ingeniører at udvikle en beskyttelsesmetode, søndag blokerede de smuthullet på serverinfrastrukturniveauet ved at bruge en løsning, og mandag begyndte de at distribuere en opdatering, der fiksede klientsoftwaren. Det er endnu ikke klart, hvor mange enheder der blev angrebet ved hjælp af sårbarheden. Kun et mislykket forsøg blev søndag meldt om at kompromittere en af menneskerettighedsaktivisternes smartphone ved hjælp af en metode, der minder om NSO Groups teknologi, samt et forsøg på at angribe smartphonen fra en ansat i menneskerettighedsorganisationen Amnesty International.
Problemet var uden unødig omtale Det israelske firma NSO Group, som var i stand til at bruge sårbarheden til at installere spyware på smartphones til at yde overvågning af retshåndhævende myndigheder. NSO sagde, at det screener kunder meget omhyggeligt (det fungerer kun med retshåndhævelse og efterretningstjenester) og undersøger alle klager over misbrug. Især er der nu indledt en retssag relateret til registrerede angreb på WhatsApp.
NSO afviser involvering i specifikke angreb og hævder kun at udvikle teknologi til efterretningstjenester, men offerets menneskerettighedsaktivist har til hensigt at bevise i retten, at virksomheden deler ansvaret med kunder, der misbruger den software, de har fået, og solgte sine produkter til tjenester, der er kendt for deres menneskerettighedskrænkelser.
Facebook indledte en undersøgelse af det mulige kompromittering af enheder og delte i sidste uge privat de første resultater med det amerikanske justitsministerium, og underrettede også flere menneskerettighedsorganisationer om problemet for at koordinere offentlighedens bevidsthed (der er omkring 1.5 milliarder WhatsApp-installationer på verdensplan).
Kilde: opennet.ru