Información sobre crítica
A vulnerabilidade non está relacionada co protocolo Signal, senón que é causada por un desbordamento do búfer na pila VoIP específica de WhatsApp. O problema pódese explotar enviando unha serie de paquetes SRTCP deseñados especialmente ao dispositivo da vítima. A vulnerabilidade afecta WhatsApp para Android (solucionado en 2.19.134), WhatsApp Business para Android (solucionado en 2.19.44), WhatsApp para iOS (2.19.51), WhatsApp Business para iOS (2.19.51), WhatsApp para Windows Phone ( 2.18.348) e WhatsApp para Tizen (2.18.15).
Curiosamente, no ano pasado
Despois de identificar o venres os primeiros rastros de compromiso do dispositivo, os enxeñeiros de Facebook comezaron a desenvolver un método de protección, o domingo bloquearon a brecha a nivel de infraestrutura do servidor mediante unha solución alternativa e o luns comezaron a distribuír unha actualización que solucionou o software do cliente. Aínda non está claro cantos dispositivos foron atacados usando a vulnerabilidade. Os únicos informes denunciados foron un intento infructuoso o domingo de comprometer o teléfono intelixente dun dos activistas dos dereitos humanos mediante un método que lembra a tecnoloxía do Grupo NSO, así como un intento de atacar o teléfono intelixente dun empregado da organización de dereitos humanos Amnistía Internacional.
O problema foi sen publicidade innecesaria
NSO nega a súa participación en ataques específicos e afirma que só desenvolve tecnoloxía para axencias de intelixencia, pero o activista dos dereitos humanos da vítima pretende demostrar ante os tribunais que a empresa comparte a responsabilidade cos clientes que abusan do software que se lles proporciona e vendeu os seus produtos a servizos coñecidos por as súas violacións dos dereitos humanos.
Facebook iniciou unha investigación sobre o posible compromiso dos dispositivos e a semana pasada compartiu en privado os primeiros resultados co Departamento de Xustiza dos EE.
Fonte: opennet.ru