Kritikoei buruzko informazioa
(CVE-2019-3568) WhatsApp mugikorretarako aplikazioan, zure kodea exekutatzeko aukera ematen dizu bereziki diseinatutako ahots-dei bat bidaliz. Eraso arrakastatsua izateko, ez da nahikoa dei gaizto bati erantzutea; Hala ere, dei hori askotan ez da deien erregistroan agertzen eta erasoa erabiltzaileak oharkabean pasa dezake.
Ahultasuna ez dago Signal protokoloarekin erlazionatuta, baina WhatsApp-en berariazko VoIP pilan buffer gainezkatzeak eragiten du. Arazoa ustiatu daiteke biktimaren gailura bereziki diseinatutako SRTCP pakete sorta bat bidaliz. Ahultasunak Android-erako WhatsApp (2.19.134-n konponduta), Android-eko WhatsApp Business (2.19.44-n konponduta), iOS-erako WhatsApp (2.19.51), iOS-rako WhatsApp Business (2.19.51), Windows Phone-rako WhatsApp ( 2.18.348) eta WhatsApp for Tizen (2.18.15).
Interesgarria da iazkoan WhatsApp-ek eta Facetime Project Zero-k erabiltzaileak deia onartu aurreko fasean ahots-dei bati lotutako kontrol-mezuak bidaltzea eta prozesatzea ahalbidetzen duen akats batean jarri zuten arreta. WhatsApp-ek funtzio hau kentzea gomendatu zen eta frogatu zen fuzzing proba bat egitean, mezu horiek bidaltzeak aplikazioaren hutsegitea dakarrela, hau da. Iaz ere jakin zen kodean ahultasun potentzialak zeudela.
Ostiralean gailuaren arriskuaren lehen arrastoak identifikatu ostean, Facebookeko ingeniariak babes metodo bat garatzen hasi ziren, igandean zerbitzariaren azpiegitura mailan zirrikitua blokeatu zuten konponbide bat erabiliz, eta astelehenean bezeroaren softwarea konpondu zuen eguneraketa bat banatzen hasi ziren. Oraindik ez dago argi zenbat gailu eraso ziren ahultasuna erabiliz. Igandean arrakastarik gabeko saiakera bat baino ez zen jakinarazi NSO Taldearen teknologia gogorarazten duen metodo bat erabiliz giza eskubideen aldeko ekintzaileetako baten telefonoa arriskuan jartzeko, baita Amnesty International giza eskubideen erakundeko langile baten telefonoa erasotzeko saiakera ere.
Arazoa alferrikako publizitaterik gabe zegoen Israelgo NSO Group konpainiak, ahultasuna erabili ahal izan zuen telefono adimendunetan spywarea instalatzeko legea betearazteko agentziek zaintza eskaintzeko. NSOk esan zuen bezeroak arreta handiz aztertzen dituela (legea betearazteko eta inteligentzia agentziekin bakarrik lan egiten duela) eta tratu txarren kexa guztiak ikertzen dituela. Hain zuzen ere, WhatsApp-en grabatutako erasoekin lotutako epaiketa bat hasi da.
NSOk ukatu egiten du eraso zehatzetan parte hartu izana eta adimen agentzietarako teknologia garatzeko soilik aldarrikatzen du, baina biktimaren giza eskubideen aktibistak epaitegian frogatu nahi du konpainiak erantzukizuna partekatzen duela emandako softwarea abusatzen duten bezeroekin, eta bere produktuak ezagunak diren zerbitzuei saltzen dizkiela. beren giza eskubideen urraketak.
Facebook-ek gailuen konpromezu posiblearen inguruko ikerketa bat hasi zuen eta joan den astean pribatuki partekatu zituen lehen emaitzak AEBetako Justizia Departamentuarekin, eta giza eskubideen inguruko hainbat erakunderi ere jakinarazi zien arazoaren berri publikoaren kontzientzia koordinatzeko (1.5 milioi WhatsApp instalazio inguru daude mundu osoan).
Iturria: opennet.ru