Πληροφορίες για κρίσιμες
(CVE-2019-3568) στην εφαρμογή WhatsApp για κινητά, η οποία σας επιτρέπει να εκτελέσετε τον κωδικό σας στέλνοντας μια ειδικά σχεδιασμένη φωνητική κλήση. Για μια επιτυχημένη επίθεση, δεν απαιτείται απάντηση σε κακόβουλη κλήση. Ωστόσο, μια τέτοια κλήση συχνά δεν εμφανίζεται στο αρχείο καταγραφής κλήσεων και η επίθεση μπορεί να περάσει απαρατήρητη από τον χρήστη.
Η ευπάθεια δεν σχετίζεται με το πρωτόκολλο Signal, αλλά προκαλείται από υπερχείλιση buffer στη στοίβα VoIP ειδικά για το WhatsApp. Το πρόβλημα μπορεί να εκμεταλλευτεί με την αποστολή μιας ειδικά σχεδιασμένης σειράς πακέτων SRTCP στη συσκευή του θύματος. Η ευπάθεια επηρεάζει το WhatsApp για Android (διορθώθηκε στην έκδοση 2.19.134), το WhatsApp Business για Android (διορθώθηκε στην έκδοση 2.19.44), το WhatsApp για iOS (2.19.51), το WhatsApp Business για iOS (2.19.51), το WhatsApp για Windows Phone ( 2.18.348) και WhatsApp για Tizen (2.18.15).
Είναι ενδιαφέρον ότι το περσινό Το WhatsApp και το Facetime Project Zero επέστησαν την προσοχή σε ένα ελάττωμα που επιτρέπει στα μηνύματα ελέγχου που σχετίζονται με μια φωνητική κλήση να αποστέλλονται και να υποβάλλονται σε επεξεργασία στο στάδιο πριν ο χρήστης αποδεχτεί την κλήση. Το WhatsApp προτάθηκε να αφαιρέσει αυτήν τη δυνατότητα και αποδείχθηκε ότι κατά τη διεξαγωγή μιας δοκιμής fuzzing, η αποστολή τέτοιων μηνυμάτων οδηγεί σε σφάλματα εφαρμογής, π.χ. Ακόμη και πέρυσι ήταν γνωστό ότι υπήρχαν πιθανά τρωτά σημεία στον κώδικα.
Αφού εντόπισαν τα πρώτα ίχνη παραβίασης της συσκευής την Παρασκευή, οι μηχανικοί του Facebook άρχισαν να αναπτύσσουν μια μέθοδο προστασίας, την Κυριακή απέκλεισαν το κενό σε επίπεδο υποδομής διακομιστή χρησιμοποιώντας μια λύση και τη Δευτέρα άρχισαν να διανέμουν μια ενημέρωση που διόρθωσε το λογισμικό πελάτη. Δεν είναι ακόμη σαφές πόσες συσκευές δέχθηκαν επίθεση χρησιμοποιώντας την ευπάθεια. Οι μόνες αναφορές που αναφέρθηκαν ήταν μια ανεπιτυχής προσπάθεια την Κυριακή να παραβιάσει το smartphone ενός από τους ακτιβιστές των ανθρωπίνων δικαιωμάτων χρησιμοποιώντας μια μέθοδο που θυμίζει τεχνολογία του NSO Group, καθώς και μια απόπειρα επίθεσης στο smartphone ενός υπαλλήλου της οργάνωσης ανθρωπίνων δικαιωμάτων Διεθνής Αμνηστία.
Το πρόβλημα ήταν χωρίς περιττή δημοσιότητα Η ισραηλινή εταιρεία NSO Group, η οποία μπόρεσε να χρησιμοποιήσει την ευπάθεια για να εγκαταστήσει spyware σε smartphone για να παρέχει επιτήρηση από τις υπηρεσίες επιβολής του νόμου. Η NSO είπε ότι ελέγχει τους πελάτες πολύ προσεκτικά (συνεργάζεται μόνο με τις υπηρεσίες επιβολής του νόμου και τις υπηρεσίες πληροφοριών) και διερευνά όλες τις καταγγελίες για κατάχρηση. Συγκεκριμένα, τώρα έχει ξεκινήσει μια δοκιμή σχετικά με καταγεγραμμένες επιθέσεις στο WhatsApp.
Η NSO αρνείται τη συμμετοχή σε συγκεκριμένες επιθέσεις και ισχυρίζεται ότι αναπτύσσει τεχνολογία μόνο για υπηρεσίες πληροφοριών, αλλά ο ακτιβιστής των ανθρωπίνων δικαιωμάτων σκοπεύει να αποδείξει στο δικαστήριο ότι η εταιρεία μοιράζεται την ευθύνη με πελάτες που κάνουν κατάχρηση του λογισμικού που τους παρέχεται και πούλησαν τα προϊόντα της σε υπηρεσίες γνωστές παραβιάσεις των ανθρωπίνων δικαιωμάτων τους.
Το Facebook ξεκίνησε έρευνα για πιθανή παραβίαση συσκευών και την περασμένη εβδομάδα μοιράστηκε ιδιωτικά τα πρώτα αποτελέσματα με το Υπουργείο Δικαιοσύνης των ΗΠΑ και επίσης ενημέρωσε αρκετές οργανώσεις ανθρωπίνων δικαιωμάτων για το πρόβλημα για τον συντονισμό της ευαισθητοποίησης του κοινού (υπάρχουν περίπου 1.5 δισεκατομμύρια εγκαταστάσεις WhatsApp παγκοσμίως).
Πηγή: opennet.ru