Informationen zu kritischen
(CVE-2019-3568) in der mobilen WhatsApp-Anwendung, die es Ihnen ermöglicht, Ihren Code durch Senden eines speziell entwickelten Sprachanrufs auszuführen. Für einen erfolgreichen Angriff ist keine Reaktion auf einen böswilligen Anruf erforderlich; ein Anruf reicht aus. Allerdings erscheint ein solcher Anruf oft nicht im Anrufprotokoll und der Angriff bleibt für den Benutzer möglicherweise unbemerkt.
Die Schwachstelle hängt nicht mit dem Signal-Protokoll zusammen, sondern wird durch einen Pufferüberlauf im WhatsApp-spezifischen VoIP-Stack verursacht. Das Problem kann ausgenutzt werden, indem eine speziell entwickelte Serie von SRTCP-Paketen an das Gerät des Opfers gesendet wird. Die Schwachstelle betrifft WhatsApp für Android (behoben in 2.19.134), WhatsApp Business für Android (behoben in 2.19.44), WhatsApp für iOS (2.19.51), WhatsApp Business für iOS (2.19.51), WhatsApp für Windows Phone ( 2.18.348) und WhatsApp für Tizen (2.18.15).
Interessanterweise im letzten Jahr WhatsApp und Facetime Project Zero machten auf einen Fehler aufmerksam, der es ermöglicht, mit einem Sprachanruf verbundene Kontrollnachrichten zu senden und zu verarbeiten, bevor der Benutzer den Anruf annimmt. WhatsApp wurde empfohlen, diese Funktion zu entfernen, und es zeigte sich, dass bei der Durchführung eines Fuzzing-Tests das Versenden solcher Nachrichten zu Anwendungsabstürzen, d. h. Bereits letztes Jahr war bekannt, dass der Code potenzielle Schwachstellen aufweist.
Nachdem sie am Freitag erste Spuren einer Gerätekompromittierung identifiziert hatten, begannen die Facebook-Ingenieure mit der Entwicklung einer Schutzmethode, am Sonntag blockierten sie die Lücke auf der Ebene der Serverinfrastruktur mithilfe eines Workarounds und am Montag begannen sie mit der Verteilung eines Updates, das die Client-Software reparierte. Es ist noch nicht klar, wie viele Geräte über die Schwachstelle angegriffen wurden. Am Sonntag wurde lediglich ein erfolgloser Versuch gemeldet, das Smartphone eines der Menschenrechtsaktivisten mit einer Methode zu kompromittieren, die an die Technologie der NSO Group erinnert, sowie ein Angriffsversuch auf das Smartphone eines Mitarbeiters der Menschenrechtsorganisation Amnesty International.
Das Problem bestand darin, dass es keine unnötige Werbung gab Das israelische Unternehmen NSO Group konnte die Sicherheitslücke ausnutzen, um Spyware auf Smartphones zu installieren, um die Überwachung durch Strafverfolgungsbehörden zu ermöglichen. NSO sagte, dass es Kunden sehr sorgfältig überprüft (es arbeitet nur mit Strafverfolgungs- und Geheimdiensten zusammen) und alle Missbrauchsbeschwerden untersucht. Insbesondere wurde nun ein Prozess wegen aufgezeichneter Angriffe auf WhatsApp eingeleitet.
NSO bestreitet die Beteiligung an konkreten Angriffen und behauptet, nur Technologie für Geheimdienste zu entwickeln, doch der Menschenrechtsaktivist des Opfers will vor Gericht beweisen, dass das Unternehmen die Verantwortung mit Kunden teilt, die die ihnen zur Verfügung gestellte Software missbrauchen und seine Produkte an bekannte Dienste verkauft haben ihre Menschenrechtsverletzungen.
Facebook leitete eine Untersuchung der möglichen Kompromittierung von Geräten ein und teilte letzte Woche privat die ersten Ergebnisse dem US-Justizministerium mit. Zudem informierte Facebook mehrere Menschenrechtsorganisationen über das Problem, um das öffentliche Bewusstsein zu koordinieren (weltweit gibt es etwa 1.5 Milliarden WhatsApp-Installationen).
Source: opennet.ru