ʻIke e pili ana i ka koʻikoʻi
(CVE-2019-3568) i ka polokalamu kelepona WhatsApp, kahi e hiki ai iā ʻoe ke hoʻokō i kāu code ma ka hoʻouna ʻana i kahi kelepona leo i hoʻolālā ʻia. No ka hoʻouka kaua ʻana, ʻaʻole koi ʻia kahi pane i kahi kelepona ʻino; ua lawa ke kelepona. Eia nō naʻe, ʻaʻole ʻike pinepine ʻia kēlā kelepona i ka log kelepona a ʻike ʻole ʻia ka hoʻouka ʻana e ka mea hoʻohana.
ʻAʻole pili ka nāwaliwali i ka protocol Signal, akā ua hoʻokumu ʻia e ka buffer overflow i ka WhatsApp-specific VoIP stack. Hiki ke hoʻohana ʻia ka pilikia ma ka hoʻouna ʻana i nā pūʻulu SRTCP i hoʻolālā kūikawā ʻia i ka hāmeʻa o ka mea i pepehi ʻia. Hoʻopilikia ka vulnerability iā WhatsApp no Android (hoʻopaʻa ʻia ma 2.19.134), WhatsApp Business no Android (paʻa ma 2.19.44), WhatsApp no iOS (2.19.51), WhatsApp Business no iOS (2.19.51), WhatsApp no Windows Phone ( 2.18.348) a me WhatsApp no Tizen (2.18.15).
ʻO ka mea hoihoi, i ka makahiki i hala Ua huki ʻo WhatsApp a me Facetime Project Zero i kahi hemahema e hiki ai ke hoʻouna ʻia a hoʻouna ʻia nā leka uila e pili ana i kahi leo leo ma ke kahua ma mua o ka ʻae ʻana o ka mea hoʻohana i ke kelepona. Ua ʻōlelo ʻia ʻo WhatsApp e wehe i kēia hiʻohiʻona a ua hōʻike ʻia i ka wā e hana ana i kahi hoʻāʻo fuzzing, hoʻouna ʻia nā memo e alakaʻi i nā pōʻino noi, ʻo ia. ʻOiai i ka makahiki i hala aku nei ua ʻike ʻia aia nā mea nāwaliwali i ke code.
Ma hope o ka ʻike ʻana i nā ʻāpana mua o ka hoʻohālikelike ʻana i nā mea hana ma ka Pōʻalima, ua hoʻomaka nā ʻenekini Facebook e hoʻomohala i kahi ʻano palekana, ma ka Lāpule ua kāohi lākou i ka loophole ma ka pae kikowaena kikowaena me ka hoʻohana ʻana i kahi workaround, a ma ka Pōʻakahi ua hoʻomaka lākou e hoʻolaha i kahi mea hou e hoʻoponopono ai i ka lako polokalamu. ʻAʻole maopopo i ka nui o nā mea hana i hoʻouka ʻia me ka hoʻohana ʻana i ka nāwaliwali. ʻO nā hōʻike wale nō i hōʻike ʻia he hoʻāʻo kūleʻa ʻole i ka lā Lāpule e hoʻololi i ke kelepona o kekahi o nā mea hana pono kanaka e hoʻohana ana i kahi ala e hoʻomanaʻo ai i ka ʻenehana NSO Group, a me ka hoʻāʻo ʻana e hoʻouka i ke kelepona o kahi limahana o ka hui kuleana kanaka Amnesty International.
ʻO ka pilikia me ka hoʻolaha pono ʻole ʻO ka hui Israeli NSO Group, ka mea i hiki ke hoʻohana i ka nāwaliwali e hoʻokomo i ka spyware ma nā smartphones e hāʻawi i ka nānā ʻana e nā keʻena hoʻokō kānāwai. Ua ʻōlelo ʻo NSO e nānā pono i nā mea kūʻai aku (hana wale ia me nā luna kānāwai a me nā ʻoihana naʻauao) a noiʻi i nā hoʻopiʻi āpau o ka hoʻomāinoino. ʻO ka mea kūikawā, ua hoʻomaka ʻia kahi hoʻokolokolo e pili ana i nā hoʻouka ʻana i hoʻopaʻa ʻia ma WhatsApp.
Hōʻole ka NSO i ke komo ʻana i nā hoʻouka kikoʻī a koi wale i ka hoʻomohala ʻana i ka ʻenehana no nā keʻena naʻauao, akā ke manaʻo nei ka mea i hoʻopaʻi ʻia i nā kuleana kanaka e hōʻoia i ka ʻaha i ka hui i ke kuleana me nā mea kūʻai aku e hōʻino i ka lako polokalamu i hāʻawi ʻia iā lākou, a kūʻai aku i kāna huahana i nā lawelawe i ʻike ʻia. ko lakou mau pono kanaka.
Ua hoʻomaka ʻo Facebook i kahi hoʻokolokolo e pili ana i ka hiki ke hoʻololi ʻia o nā mea hana a i ka pule i hala aku nei i hōʻike pilikino i nā hopena mua me ka US Department of Justice, a ua hoʻolaha pū kekahi i nā hui kuleana kanaka e pili ana i ka pilikia e hoʻonohonoho i ka ʻike lehulehu (ma kahi o 1.5 biliona mau hoʻonohonoho WhatsApp ma ka honua holoʻokoʻa).
Source: opennet.ru