Ynformaasje oer kritysk
(CVE-2019-3568) yn 'e WhatsApp mobile applikaasje, wêrmei jo jo koade kinne útfiere troch in spesjaal ûntworpen stimoprop te stjoeren. Foar in suksesfolle oanfal is in antwurd op in kweade oprop net nedich; in oprop is genôch. Sa'n oprop komt lykwols faak net yn it oproplog en de oanfal kin troch de brûker ûngemurken bliuwe.
De kwetsberens is net besibbe oan it Signalprotokol, mar wurdt feroarsake troch in bufferoerstream yn 'e WhatsApp-spesifike VoIP-stapel. It probleem kin brûkt wurde troch it ferstjoeren fan in spesjaal ûntwurpen searje fan SRTCP-pakketten nei it apparaat fan it slachtoffer. De kwetsberens hat ynfloed op WhatsApp foar Android (reparearre yn 2.19.134), WhatsApp Business foar Android (fêst yn 2.19.44), WhatsApp foar iOS (2.19.51), WhatsApp Business foar iOS (2.19.51), WhatsApp foar Windows Phone ( 2.18.348) en WhatsApp foar Tizen (2.18.15).
Opfallend, yn ferline jier WhatsApp en Facetime Project Zero lutsen de oandacht op in flater wêrtroch kontrôleberjochten ferbûn mei in stimoprop kinne wurde ferstjoerd en ferwurke op it poadium foardat de brûker de oprop akseptearret. WhatsApp waard oanrikkemandearre om dizze funksje te ferwiderjen en it waard oantoand dat by it útfieren fan in fuzzing-test, it ferstjoeren fan sokke berjochten liedt ta tapassing crashes, d.w.s. Sels ferline jier waard bekend dat der potinsjele kwetsberens yn 'e koade wiene.
Nei it identifisearjen fan de earste spoaren fan apparaatkompromis op freed, begûnen Facebook-yngenieurs in beskermingsmetoade te ûntwikkeljen, op snein blokkearren se it gat op it nivo fan serverynfrastruktuer mei help fan in oplossing, en op moandei begon se in update te fersprieden dy't de clientsoftware reparearre. It is noch net dúdlik hoefolle apparaten oanfallen binne mei de kwetsberens. Allinnich in mislearre besykjen waard rapporteare op snein om it smartphone fan ien fan 'e minskerjochteaktivisten te kompromittearjen mei in metoade dy't tinkt oan NSO Group technology, en ek in besykjen om it smartphone fan in meiwurker fan' e minskerjochteorganisaasje Amnesty International oan te fallen.
It probleem wie sûnder ûnnedige publisiteit Israelyske bedriuw NSO Group, dy't de kwetsberens koe brûke om spyware op smartphones te ynstallearjen om tafersjoch te leverjen troch ynstânsjes foar wet hanthavenjen. NSO sei dat it skermen fan klanten hiel foarsichtich (it wurket allinnich mei wet hanthaveningsbelied en yntelliginsje-ynstânsjes) en ûndersiket alle klachten fan misbrûk. Benammen in proef is no inisjearre yn ferbân mei opnommen oanfallen op WhatsApp.
NSO ûntkent belutsenens by spesifike oanfallen en beweart allinich om technology te ûntwikkeljen foar yntelliginsje-ynstânsjes, mar de minskerjochtenaktivist fan it slachtoffer is fan doel om yn 'e rjochtbank te bewizen dat it bedriuw ferantwurdlikens dielt mei kliïnten dy't de software dy't har levere wurde misbrûke, en har produkten ferkocht oan tsjinsten bekend foar harren rjochten fan 'e minske.
Facebook inisjearre in ûndersyk nei it mooglike kompromis fan apparaten en dielde ferline wike partikulier de earste resultaten mei it Amerikaanske ministearje fan justysje, en hat ek ferskate minskerjochtenorganisaasjes op 'e hichte brocht oer it probleem om publike bewustwêzen te koördinearjen (d'r binne sawat 1.5 miljard WhatsApp-ynstallaasjes wrâldwiid).
Boarne: opennet.ru