Informacije o kritičnim
Ranjivost nije povezana s protokolom Signal, već je uzrokovana prekoračenjem međuspremnika u VoIP stogu specifičnom za WhatsApp. Problem se može iskoristiti slanjem posebno dizajnirane serije SRTCP paketa na žrtvin uređaj. Ranjivost utječe na WhatsApp za Android (popravljeno u 2.19.134), WhatsApp Business za Android (popravljeno u 2.19.44), WhatsApp za iOS (2.19.51), WhatsApp Business za iOS (2.19.51), WhatsApp za Windows Phone ( 2.18.348) i WhatsApp za Tizen (2.18.15).
Zanimljivo, u prošloj
Nakon što su u petak identificirali prve tragove kompromitacije uređaja, inženjeri Facebooka počeli su razvijati metodu zaštite, u nedjelju su zaobilaznim rješenjem blokirali rupu na razini poslužiteljske infrastrukture, au ponedjeljak su počeli distribuirati ažuriranje koje je popravilo klijentski softver. Još nije jasno koliko je uređaja napadnuto korištenjem ranjivosti. Jedina prijava bila je neuspješni pokušaj kompromitiranja pametnog telefona jednog od aktivista za ljudska prava u nedjelju metodom koja podsjeća na tehnologiju NSO Group, kao i pokušaj napada na pametni telefon zaposlenika organizacije za ljudska prava Amnesty International.
Problem je bio bez nepotrebnog publiciteta
NSO poriče umiješanost u konkretne napade i tvrdi samo da razvija tehnologiju za obavještajne agencije, no žrtva aktivistica za ljudska prava namjerava na sudu dokazati da tvrtka dijeli odgovornost s klijentima koji zlorabe softver koji im je dostavljen, a svoje proizvode prodaju servisima poznatim po njihova kršenja ljudskih prava.
Facebook je pokrenuo istragu o mogućoj kompromitaciji uređaja i prošli tjedan je prve rezultate privatno podijelio s američkim Ministarstvom pravosuđa, a također je o problemu obavijestio nekoliko organizacija za ljudska prava kako bi koordinirali svijest javnosti (u svijetu postoji oko 1.5 milijardi instaliranih WhatsAppa).
Izvor: opennet.ru