Información sobre críticos
(CVE-2019-3568) en la aplicación móvil WhatsApp, que permite ejecutar su código enviando una llamada de voz especialmente diseñada. Para que un ataque tenga éxito, no se requiere una respuesta a una llamada maliciosa; una llamada es suficiente. Sin embargo, una llamada de este tipo a menudo no aparece en el registro de llamadas y el ataque puede pasar desapercibido para el usuario.
La vulnerabilidad no está relacionada con el protocolo Signal, sino que es causada por un desbordamiento del búfer en la pila VoIP específica de WhatsApp. El problema se puede explotar enviando una serie de paquetes SRTCP especialmente diseñados al dispositivo de la víctima. La vulnerabilidad afecta a WhatsApp para Android (solucionada en 2.19.134), WhatsApp Business para Android (solucionada en 2.19.44), WhatsApp para iOS (2.19.51), WhatsApp Business para iOS (2.19.51), WhatsApp para Windows Phone ( 2.18.348) y WhatsApp para Tizen (2.18.15).
Curiosamente, en el año pasado WhatsApp y Facetime Project Zero llamaron la atención sobre una falla que permite enviar y procesar mensajes de control asociados con una llamada de voz en la etapa anterior a que el usuario acepte la llamada. Se recomendó a WhatsApp que eliminara esta función y se demostró que, al realizar una prueba de confusión, el envío de dichos mensajes provocaba fallos de la aplicación, es decir. Incluso el año pasado se supo que existían posibles vulnerabilidades en el código.
Después de identificar los primeros rastros de dispositivos comprometidos el viernes, los ingenieros de Facebook comenzaron a desarrollar un método de protección, el domingo bloquearon la laguna a nivel de infraestructura del servidor usando una solución alternativa y el lunes comenzaron a distribuir una actualización que solucionó el software del cliente. Aún no está claro cuántos dispositivos fueron atacados utilizando esta vulnerabilidad. Los únicos informes reportados fueron un intento fallido el domingo de comprometer el teléfono inteligente de uno de los activistas de derechos humanos utilizando un método que recuerda a la tecnología del Grupo NSO, así como un intento de atacar el teléfono inteligente de un empleado de la organización de derechos humanos Amnistía Internacional.
El problema fue sin publicidad innecesaria. La empresa israelí NSO Group, que pudo utilizar la vulnerabilidad para instalar software espía en teléfonos inteligentes para proporcionar vigilancia por parte de las fuerzas del orden. NSO dijo que examina a los clientes con mucho cuidado (solo trabaja con agencias policiales y de inteligencia) e investiga todas las quejas de abuso. En particular, ahora se ha iniciado un juicio relacionado con los ataques registrados en WhatsApp.
NSO niega estar involucrado en ataques específicos y afirma solo desarrollar tecnología para agencias de inteligencia, pero la víctima, activista de derechos humanos, tiene la intención de demostrar ante el tribunal que la compañía comparte la responsabilidad con los clientes que abusan del software que se les proporciona y venden sus productos a servicios conocidos por sus violaciones de derechos humanos.
Facebook inició una investigación sobre el posible compromiso de dispositivos y la semana pasada compartió en privado los primeros resultados con el Departamento de Justicia de EE.UU., y también notificó a varias organizaciones de derechos humanos sobre el problema para coordinar la concienciación pública (hay alrededor de 1.5 millones de instalaciones de WhatsApp en todo el mundo).
Fuente: opennet.ru