Eolas faoi chriticiúil
(CVE-2019-3568) san fheidhmchlár soghluaiste WhatsApp, a ligeann duit do chód a fhorghníomhú trí ghlao gutha deartha go speisialta a sheoladh. I gcás ionsaí rathúil, ní gá freagra a thabhairt ar ghlao mailíseach; Mar sin féin, is minic nach mbíonn a leithéid de ghlao le feiceáil sa loga glaonna agus seans nach dtabharfaidh an t-úsáideoir an t-ionsaí faoi deara.
Níl baint ag an leochaileacht leis an bprótacal Comhartha, ach is cúis le ró-sreabhadh maoláin sa chruach VoIP a bhaineann go sonrach le WhatsApp. Is féidir an fhadhb a shaothrú trí shraith paicéid SRTCP atá saindeartha a sheoladh chuig gléas an íospartaigh. Bíonn tionchar ag an leochaileacht ar WhatsApp do Android (seasta i 2.19.134), WhatsApp Business for Android (seasta i 2.19.44), WhatsApp le haghaidh iOS (2.19.51), WhatsApp Business le haghaidh iOS (2.19.51), WhatsApp le haghaidh Windows Phone ( 2.18.348) agus WhatsApp do Tizen (2.18.15).
Suimiúil go leor, sa bhliain seo caite Tharraing WhatsApp agus Facetime Project Zero aird ar locht a cheadaíonn teachtaireachtaí rialaithe a bhaineann le glao gutha a sheoladh agus a phróiseáil ag an gcéim sula nglacann an t-úsáideoir leis an nglao. Moladh do WhatsApp an ghné seo a bhaint agus léiríodh go mbíonn tuairteanna feidhmchláir mar thoradh ar theachtaireachtaí dá leithéid a sheoladh, i.e. Fiú anuraidh bhí a fhios go raibh leochaileachtaí féideartha sa chód.
Tar éis na chéad rianta de chomhréiteach gléas a aithint Dé hAoine, thosaigh innealtóirí Facebook ag forbairt modh cosanta, ar an Domhnach chuir siad bac ar an mbealach éalaithe ag leibhéal bonneagair an fhreastalaí ag baint úsáide as réiteach oibre, agus Dé Luain thosaigh siad ag dáileadh nuashonrú a shocraigh na bogearraí cliaint. Níl sé soiléir fós cé mhéad gléas a ionsaíodh ag baint úsáide as an leochaileacht. Níor tuairiscíodh ach iarracht nár éirigh leis ar an Domhnach chun fón cliste duine de na gníomhaithe cearta daonna a chomhréiteach ag baint úsáide as modh a mheabhraíonn teicneolaíocht NSO Group, chomh maith le hiarracht chun fón cliste fhostaí de chuid na heagraíochta cearta daonna Amnesty International a ionsaí.
Bhí an fhadhb gan poiblíocht gan ghá An chuideachta Iosraelach NSO Group, a bhí in ann úsáid a bhaint as an leochaileacht chun earraí spiaireachta a shuiteáil ar fhóin chliste chun faireachas a sholáthar ag gníomhaireachtaí forfheidhmithe dlí. Dúirt NSO go ndéanann sé scagadh cúramach ar chustaiméirí (ní oibríonn sé ach le gníomhaireachtaí forfheidhmithe dlí agus faisnéise) agus go ndéanann sé imscrúdú ar gach gearán mí-úsáide. Go háirithe, tá tús curtha le triail anois maidir le hionsaithe taifeadta ar WhatsApp.
Diúltaíonn NSO baint a bheith aige le hionsaithe sonracha agus ní éilíonn sé ach teicneolaíocht a fhorbairt do ghníomhaireachtaí faisnéise, ach tá sé ar intinn ag an ngníomhaí um chearta an duine íospartaigh a chruthú sa chúirt go roinneann an chuideachta freagracht le cliaint a bhaineann mí-úsáid as na bogearraí a chuirtear ar fáil dóibh, agus a dhíol a chuid táirgí le seirbhísí aitheanta. a sáruithe ar chearta an duine.
Chuir Facebook tús le himscrúdú ar chomhréiteach féideartha feistí agus an tseachtain seo caite roinn sé na chéad torthaí go príobháideach le Roinn Dlí agus Cirt na SA, agus thug sé fógra freisin do roinnt eagraíochtaí cearta daonna faoin bhfadhb chun feasacht an phobail a chomhordú (tá thart ar 1.5 billiún suiteálacha WhatsApp ar fud an domhain).
Foinse: oscailtenet.ru