Teave kriitiliste kohta
(CVE-2019-3568) WhatsApp mobiilirakenduses, mis võimaldab teil oma koodi käivitada, saates selleks spetsiaalselt loodud häälkõne. Edukaks rünnakuks pole pahatahtlikule kõnele vastamine vajalik, piisab kõnest. Sageli aga sellist kõnet kõnelogis ei kuvata ja rünnak võib jääda kasutajale märkamatuks.
Haavatavus ei ole seotud signaaliprotokolliga, vaid selle põhjustab WhatsAppi-spetsiifilise VoIP-virna puhvri ületäitumine. Probleemi saab ära kasutada, saates ohvri seadmesse spetsiaalselt loodud SRTCP-pakettide seeria. Haavatavus mõjutab WhatsApp for Android (parandatud versioonis 2.19.134), WhatsApp Business for Android (parandatud versioonis 2.19.44), WhatsApp for iOS (2.19.51), WhatsApp Business for iOS (2.19.51), WhatsApp for Windows Phone ( 2.18.348) ja WhatsApp for Tizen (2.18.15).
Huvitaval kombel eelmisel aastal WhatsApp ja Facetime Project Zero juhtisid tähelepanu veale, mis võimaldab häälkõnega seotud juhtsõnumeid saata ja töödelda etapis, enne kui kasutaja kõne vastu võtab. WhatsAppil soovitati see funktsioon eemaldada ja näidati, et udutesti läbiviimisel viib selliste sõnumite saatmine rakenduste krahhini, s.t. Juba eelmisel aastal oli teada, et koodis on potentsiaalseid turvaauke.
Pärast esimeste seadme kompromissi jälgede tuvastamist reedel alustasid Facebooki insenerid kaitsemeetodi väljatöötamist, pühapäeval blokeerisid nad serveri infrastruktuuri tasemel lünga, kasutades lahendust ja esmaspäeval hakkasid levitama klienditarkvara parandanud värskendust. Kui palju seadmeid haavatavust kasutades rünnati, pole veel selge. Pühapäeval teatati vaid ebaõnnestunud katsest kompromiteerida ühe inimõiguslase nutitelefon NSO Groupi tehnoloogiat meenutaval meetodil, samuti katsest rünnata inimõigusorganisatsiooni Amnesty Internationali töötaja nutitelefoni.
Probleem oli ilma tarbetu reklaamita Iisraeli ettevõte NSO Group, mis suutis kasutada turvaauku nutitelefonidesse nuhkvara installimiseks, et tagada õiguskaitseorganite järelevalve. NSO ütles, et kontrollib kliente väga hoolikalt (töötab ainult õiguskaitse- ja luureasutustega) ja uurib kõiki kuritarvitamise kaebusi. Eelkõige on nüüd algatatud kohtuprotsess WhatsAppi salvestatud rünnakute kohta.
NSO eitab seotust konkreetsetes rünnakutes ja väidab, et arendab ainult luureagentuuride jaoks tehnoloogiat, kuid ohvriks langenud inimõiguste aktivist kavatseb kohtus tõestada, et ettevõte jagab vastutust klientidega, kes kuritarvitavad neile pakutavat tarkvara ja müüsid oma tooteid teenustele, mis on tuntud nende inimõiguste rikkumisi.
Facebook algatas seadmete võimaliku kompromiteerimise uurimise ja jagas eelmisel nädalal privaatselt esimesi tulemusi USA justiitsministeeriumiga ning teavitas probleemist ka mitmeid inimõigusorganisatsioone, et koordineerida avalikkuse teadlikkust (üle maailma on umbes 1.5 miljardit WhatsAppi installatsiooni).
Allikas: opennet.ru