Informacije o kritičnim
(CVE-2019-3568) u mobilnoj aplikaciji WhatsApp, koja vam omogućuje da izvršite svoj kod slanjem posebno dizajniranog glasovnog poziva. Za uspješan napad nije potreban odgovor na zlonamjerni poziv, dovoljan je poziv. Međutim, takav se poziv često ne pojavljuje u zapisniku poziva i korisnik može proći nezapaženo.
Ranjivost nije povezana s protokolom Signal, već je uzrokovana prekoračenjem međuspremnika u VoIP stogu specifičnom za WhatsApp. Problem se može iskoristiti slanjem posebno dizajnirane serije SRTCP paketa na žrtvin uređaj. Ranjivost utječe na WhatsApp za Android (popravljeno u 2.19.134), WhatsApp Business za Android (popravljeno u 2.19.44), WhatsApp za iOS (2.19.51), WhatsApp Business za iOS (2.19.51), WhatsApp za Windows Phone ( 2.18.348) i WhatsApp za Tizen (2.18.15).
Zanimljivo, u prošloj WhatsApp i Facetime Project Zero skrenuli su pozornost na nedostatak koji omogućuje slanje i obradu kontrolnih poruka povezanih s glasovnim pozivom u fazi prije nego što korisnik prihvati poziv. WhatsAppu je preporučeno da ukloni ovu značajku i pokazalo se da prilikom provođenja fuzzing testa slanje takvih poruka dovodi do rušenja aplikacije, tj. Još prošle godine se znalo da postoje potencijalne ranjivosti u kodu.
Nakon što su u petak identificirali prve tragove kompromitacije uređaja, inženjeri Facebooka počeli su razvijati metodu zaštite, u nedjelju su zaobilaznim rješenjem blokirali rupu na razini poslužiteljske infrastrukture, au ponedjeljak su počeli distribuirati ažuriranje koje je popravilo klijentski softver. Još nije jasno koliko je uređaja napadnuto korištenjem ranjivosti. Jedina prijava bila je neuspješni pokušaj kompromitiranja pametnog telefona jednog od aktivista za ljudska prava u nedjelju metodom koja podsjeća na tehnologiju NSO Group, kao i pokušaj napada na pametni telefon zaposlenika organizacije za ljudska prava Amnesty International.
Problem je bio bez nepotrebnog publiciteta Izraelska tvrtka NSO Group, koja je uspjela iskoristiti ranjivost za instaliranje špijunskog softvera na pametne telefone kako bi osigurala nadzor od strane agencija za provođenje zakona. NSO je rekao da vrlo pažljivo provjerava klijente (surađuje samo s policijom i obavještajnim agencijama) i istražuje sve pritužbe na zlouporabu. Konkretno, sada je pokrenuto suđenje u vezi sa snimljenim napadima na WhatsApp.
NSO poriče umiješanost u konkretne napade i tvrdi samo da razvija tehnologiju za obavještajne agencije, no žrtva aktivistica za ljudska prava namjerava na sudu dokazati da tvrtka dijeli odgovornost s klijentima koji zlorabe softver koji im je dostavljen, a svoje proizvode prodaju servisima poznatim po njihova kršenja ljudskih prava.
Facebook je pokrenuo istragu o mogućoj kompromitaciji uređaja i prošli tjedan je prve rezultate privatno podijelio s američkim Ministarstvom pravosuđa, a također je o problemu obavijestio nekoliko organizacija za ljudska prava kako bi koordinirali svijest javnosti (u svijetu postoji oko 1.5 milijardi instaliranih WhatsAppa).
Izvor: opennet.ru