Información sobre crítica
(CVE-2019-3568) na aplicación móbil WhatsApp, que che permite executar o teu código enviando unha chamada de voz especialmente deseñada. Para un ataque exitoso, non é necesaria unha resposta a unha chamada maliciosa; unha chamada é suficiente. Non obstante, tal chamada moitas veces non aparece no rexistro de chamadas e o ataque pode pasar desapercibido para o usuario.
A vulnerabilidade non está relacionada co protocolo Signal, senón que é causada por un desbordamento do búfer na pila VoIP específica de WhatsApp. O problema pódese explotar enviando unha serie de paquetes SRTCP deseñados especialmente ao dispositivo da vítima. A vulnerabilidade afecta WhatsApp para Android (solucionado en 2.19.134), WhatsApp Business para Android (solucionado en 2.19.44), WhatsApp para iOS (2.19.51), WhatsApp Business para iOS (2.19.51), WhatsApp para Windows Phone ( 2.18.348) e WhatsApp para Tizen (2.18.15).
Curiosamente, no ano pasado WhatsApp e Facetime Project Zero chamaron a atención sobre un fallo que permite que as mensaxes de control asociadas a unha chamada de voz se envíen e procesen na fase anterior ao que o usuario acepte a chamada. WhatsApp recomendouse para eliminar esta función e demostrouse que cando se realiza unha proba de fuzzing, o envío deste tipo de mensaxes leva a fallas da aplicación, é dicir. Incluso o ano pasado sabíase que había posibles vulnerabilidades no código.
Despois de identificar o venres os primeiros rastros de compromiso do dispositivo, os enxeñeiros de Facebook comezaron a desenvolver un método de protección, o domingo bloquearon a brecha a nivel de infraestrutura do servidor mediante unha solución alternativa e o luns comezaron a distribuír unha actualización que solucionou o software do cliente. Aínda non está claro cantos dispositivos foron atacados usando a vulnerabilidade. Os únicos informes denunciados foron un intento infructuoso o domingo de comprometer o teléfono intelixente dun dos activistas dos dereitos humanos mediante un método que lembra a tecnoloxía do Grupo NSO, así como un intento de atacar o teléfono intelixente dun empregado da organización de dereitos humanos Amnistía Internacional.
O problema foi sen publicidade innecesaria A empresa israelí NSO Group, que puido utilizar a vulnerabilidade para instalar software espía en teléfonos intelixentes para proporcionar vixilancia por parte das axencias policiais. NSO dixo que examina os clientes con moito coidado (só funciona coas axencias policiais e de intelixencia) e investiga todas as denuncias de abuso. En particular, agora iniciouse un xuízo relacionado con ataques rexistrados a WhatsApp.
NSO nega a súa participación en ataques específicos e afirma que só desenvolve tecnoloxía para axencias de intelixencia, pero o activista dos dereitos humanos da vítima pretende demostrar ante os tribunais que a empresa comparte a responsabilidade cos clientes que abusan do software que se lles proporciona e vendeu os seus produtos a servizos coñecidos por as súas violacións dos dereitos humanos.
Facebook iniciou unha investigación sobre o posible compromiso dos dispositivos e a semana pasada compartiu en privado os primeiros resultados co Departamento de Xustiza dos EE.
Fonte: opennet.ru