Informations sur les critiques
(CVE-2019-3568) dans l'application mobile WhatsApp, qui vous permet d'exécuter votre code en envoyant un appel vocal spécialement conçu. Pour une attaque réussie, une réponse à un appel malveillant n’est pas requise ; un appel suffit. Cependant, un tel appel n'apparaît souvent pas dans le journal des appels et l'attaque peut passer inaperçue pour l'utilisateur.
La vulnérabilité n'est pas liée au protocole Signal, mais est causée par un débordement de tampon dans la pile VoIP spécifique à WhatsApp. Le problème peut être exploité en envoyant une série spécialement conçue de paquets SRTCP à l’appareil de la victime. La vulnérabilité affecte WhatsApp pour Android (corrigé dans la version 2.19.134), WhatsApp Business pour Android (corrigé dans la version 2.19.44), WhatsApp pour iOS (2.19.51), WhatsApp Business pour iOS (2.19.51), WhatsApp pour Windows Phone ( 2.18.348) et WhatsApp pour Tizen (2.18.15).
Il est intéressant de noter que l'année dernière WhatsApp et Facetime Project Zero ont attiré l'attention sur une faille qui permet d'envoyer et de traiter des messages de contrôle associés à un appel vocal avant que l'utilisateur n'accepte l'appel. Il a été recommandé à WhatsApp de supprimer cette fonctionnalité et il a été démontré que lors d'un test de fuzzing, l'envoi de tels messages entraînait des plantages de l'application, c'est-à-dire L’année dernière déjà, on savait qu’il existait des vulnérabilités potentielles dans le code.
Après avoir identifié les premières traces de compromission de l'appareil vendredi, les ingénieurs de Facebook ont commencé à développer une méthode de protection, dimanche ils ont bloqué la faille au niveau de l'infrastructure du serveur en utilisant une solution de contournement et lundi ils ont commencé à distribuer une mise à jour qui corrige le logiciel client. On ne sait pas encore combien d’appareils ont été attaqués en utilisant cette vulnérabilité. Les seules informations signalées concernaient une tentative infructueuse dimanche de pirater le smartphone de l'un des militants des droits de l'homme en utilisant une méthode qui rappelle la technologie du groupe NSO, ainsi qu'une tentative d'attaque du smartphone d'un employé de l'organisation de défense des droits de l'homme Amnesty International.
Le problème était sans publicité inutile La société israélienne NSO Group, qui a pu utiliser cette vulnérabilité pour installer des logiciels espions sur les smartphones afin d'assurer la surveillance des forces de l'ordre. NSO a déclaré qu'il sélectionnait très attentivement les clients (il ne travaillait qu'avec les forces de l'ordre et les agences de renseignement) et qu'il enquêtait sur toutes les plaintes pour abus. En particulier, un procès a été ouvert concernant les attaques enregistrées contre WhatsApp.
NSO nie toute implication dans des attaques spécifiques et prétend développer uniquement une technologie pour les agences de renseignement, mais la victime, militante des droits humains, entend prouver devant le tribunal que l'entreprise partage la responsabilité avec ses clients qui abusent des logiciels qui leur sont fournis et vendent leurs produits à des services connus pour leurs violations des droits de l'homme.
Facebook a ouvert une enquête sur une éventuelle compromission des appareils et a partagé la semaine dernière en privé les premiers résultats avec le ministère américain de la Justice, et a également informé plusieurs organisations de défense des droits de l'homme du problème afin de coordonner la sensibilisation du public (il existe environ 1.5 milliard d'installations WhatsApp dans le monde).
Source: opennet.ru