Tietoa kriittisistä asioista
(CVE-2019-3568) WhatsApp-mobiilisovelluksessa, jonka avulla voit suorittaa koodisi lähettämällä erityisesti suunnitellun äänipuhelun. Onnistunut hyökkäys ei vaadi vastausta haitalliseen kutsuun, puhelu riittää. Tällainen puhelu ei kuitenkaan usein näy puhelulokissa ja hyökkäys voi jäädä käyttäjältä huomaamatta.
Haavoittuvuus ei liity Signal-protokollaan, vaan sen aiheuttaa WhatsApp-kohtaisen VoIP-pinon puskurin ylivuoto. Ongelmaa voidaan hyödyntää lähettämällä erityisesti suunniteltu sarja SRTCP-paketteja uhrin laitteeseen. Haavoittuvuus koskee WhatsApp for Android (korjattu 2.19.134), WhatsApp Business for Android (korjattu 2.19.44), WhatsApp for iOS (2.19.51), WhatsApp Business for iOS (2.19.51), WhatsApp for Windows Phone ( 2.18.348) ja WhatsApp for Tizen (2.18.15).
Mielenkiintoista, viime vuonna WhatsApp ja Facetime Project Zero kiinnittivät huomion puutteeseen, joka mahdollistaa äänipuheluun liittyvien ohjausviestien lähettämisen ja käsittelyn siinä vaiheessa, kun käyttäjä hyväksyy puhelun. WhatsAppia suositeltiin poistamaan tämä ominaisuus ja osoitettiin, että fuzzing-testiä suoritettaessa tällaisten viestien lähettäminen johtaa sovellusten kaatumisiin, ts. Jo viime vuonna tiedettiin, että koodissa oli mahdollisia haavoittuvuuksia.
Havaittuaan perjantaina ensimmäiset laitekompromissijäljet Facebookin insinöörit aloittivat suojausmenetelmän kehittämisen, sunnuntaina he estivät porsaanreiän palvelininfrastruktuurin tasolla kiertotavan avulla ja maanantaina alkoivat jakaa asiakasohjelmiston korjaavaa päivitystä. Vielä ei ole selvää, kuinka moneen laitteeseen hyökättiin haavoittuvuuden avulla. Ainoat raportoidut raportit olivat sunnuntaina epäonnistunut yritys murtaa yhden ihmisoikeusaktivistin älypuhelin NSO Groupin tekniikkaa muistuttavalla menetelmällä sekä yritys hyökätä ihmisoikeusjärjestön Amnesty Internationalin työntekijän älypuhelimeen.
Ongelma oli ilman turhaa julkisuutta Israelilainen yritys NSO Group, joka pystyi käyttämään haavoittuvuutta vakoiluohjelmien asentamiseen älypuhelimiin tarjotakseen lainvalvontaviranomaisten valvontaa. NSO sanoi, että se seuloa asiakkaat erittäin huolellisesti (se toimii vain lainvalvontaviranomaisten ja tiedusteluviranomaisten kanssa) ja tutkii kaikki väärinkäyttövalitukset. Erityisesti WhatsAppiin tallennettuihin hyökkäyksiin liittyvä oikeudenkäynti on nyt aloitettu.
NSO kiistää osallisuutensa tiettyihin hyökkäyksiin ja väittää vain kehittävänsä teknologiaa tiedustelupalveluille, mutta uhrin ihmisoikeusaktivisti aikoo todistaa oikeudessa, että yritys jakaa vastuun asiakkaiden kanssa, jotka väärinkäyttävät heille toimitettuja ohjelmistoja ja myivät tuotteitaan palveluille, jotka tunnetaan mm. ihmisoikeusloukkauksistaan.
Facebook käynnisti tutkimuksen mahdollisesta laitteiden vaarantumisesta ja jakoi viime viikolla yksityisesti ensimmäiset tulokset Yhdysvaltain oikeusministeriön kanssa ja ilmoitti myös useille ihmisoikeusjärjestöille ongelmasta koordinoidakseen yleistä tietoisuutta (WhatsApp-asennuksia on maailmanlaajuisesti noin 1.5 miljardia).
Lähde: opennet.ru