Informoj pri kritika
(CVE-2019-3568) en la poŝtelefona aplikaĵo WhatsApp, kiu ebligas al vi efektivigi vian kodon sendante speciale desegnitan voĉvokon. Por sukcesa atako, respondo al malica voko ne estas postulata; Tamen, tia voko ofte ne aperas en la voka protokolo kaj la atako povas resti nerimarkita de la uzanto.
La vundebleco ne rilatas al la Signal-protokolo, sed estas kaŭzita de bufra superfluo en la WhatsApp-specifa VoIP-stako. La problemo povas esti ekspluatata sendante speciale desegnitan serion de SRTCP-pakoj al la aparato de la viktimo. La vundebleco influas WhatsApp por Android (fiksita en 2.19.134), WhatsApp Business por Android (fiksita en 2.19.44), WhatsApp por iOS (2.19.51), WhatsApp Business por iOS (2.19.51), WhatsApp por Windows Phone ( 2.18.348) kaj WhatsApp por Tizen (2.18.15).
Interese, en la pasinta jaro WhatsApp kaj Facetime Project Zero atentigis pri difekto, kiu permesas kontrolmesaĝojn asociitajn kun voĉvoko esti senditaj kaj prilaboritaj en la stadio antaŭ ol la uzanto akceptas la vokon. WhatsApp estis rekomendita por forigi ĉi tiun funkcion kaj montriĝis, ke kiam oni faras malklaran teston, sendi tiajn mesaĝojn kondukas al aplikaĵa kraŝo, t.e. Eĉ pasintjare oni sciis, ke ekzistas eblaj vundeblecoj en la kodo.
Post identigi la unuajn spurojn de aparato-kompromiso vendrede, Facebook-inĝenieroj komencis evoluigi protektan metodon, dimanĉe ili blokis la kaŝpasejon ĉe la servila infrastruktura nivelo uzante solvon, kaj lundon ili komencis distribui ĝisdatigon, kiu riparis la klientan programaron. Ankoraŭ ne estas klare kiom da aparatoj estis atakitaj uzante la vundeblecon. La nuraj raportoj raportitaj estis malsukcesa provo dimanĉe endanĝerigi la saĝtelefonon de unu el la aktivuloj pri homaj rajtoj uzante metodon rememorigan pri teknologio de NSO Group, same kiel provo ataki la saĝtelefonon de oficisto de la organizo pri homaj rajtoj Amnestio Internacia.
La problemo estis sen nenecesa reklamado Israela firmao NSO Group, kiu povis uzi la vundeblecon por instali spionvaron sur inteligentaj telefonoj por provizi gvatadon de policaj agentejoj. NSO diris, ke ĝi ekzamenas klientojn tre zorge (ĝi funkcias nur kun policoj kaj spionaj agentejoj) kaj esploras ĉiujn plendojn pri misuzo. Aparte, provo nun estis komencita rilate al registritaj atakoj sur WhatsApp.
NSO neas implikiĝon en specifaj atakoj kaj asertas nur evoluigi teknologion por spionaj agentejoj, sed la viktima aktivulo pri homaj rajtoj intencas pruvi en tribunalo, ke la firmao partumas respondecon kun klientoj kiuj misuzas la softvaron provizitan al ili, kaj vendis ĝiajn produktojn al servoj konataj pro. iliaj malobservoj de homaj rajtoj.
Facebook iniciatis enketon pri la ebla kompromiso de aparatoj kaj la pasintsemajne private konigis la unuajn rezultojn kun la Usona Departemento de Justeco, kaj ankaŭ sciigis plurajn organizojn pri homaj rajtoj pri la problemo por kunordigi publikan konscion (estas ĉirkaŭ 1.5 miliardoj da WhatsApp-instalaĵoj tutmonde).
fonto: opennet.ru