Enfòmasyon sou kritik
(CVE-2019-3568) nan aplikasyon mobil WhatsApp, ki pèmèt ou egzekite kòd ou a lè w voye yon apèl vwa ki fèt espesyalman. Pou yon atak siksè, yon repons a yon apèl move pa obligatwa; yon apèl se ase. Sepandan, tankou yon apèl souvan pa parèt nan jounal apèl la ak atak la ka pase inapèsi pa itilizatè a.
Vilnerabilite a pa gen rapò ak pwotokòl la siyal, men se ki te koze pa yon debòde tanpon nan pil WhatsApp espesifik VoIP la. Pwoblèm nan ka eksplwate lè w voye yon seri pake SRTCP ki fèt espesyalman nan aparèy viktim nan. Vilnerabilite a afekte WhatsApp pou Android (fiks nan 2.19.134), WhatsApp Biznis pou Android (fiks nan 2.19.44), WhatsApp pou iOS (2.19.51), WhatsApp Biznis pou iOS (2.19.51), WhatsApp pou Windows Phone ( 2.18.348) ak WhatsApp pou Tizen (2.18.15).
Enteresan, nan ane pase a WhatsApp ak Facetime Project Zero te atire atansyon sou yon defo ki pèmèt mesaj kontwòl ki asosye ak yon apèl vwa yo dwe voye ak trete nan etap anvan itilizatè a aksepte apèl la. WhatsApp te rekòmande pou retire karakteristik sa a epi li te montre ke lè w ap fè yon tès fuzzing, voye mesaj sa yo mennen nan aksidan aplikasyon, i.e. Menm ane pase a li te konnen ke te gen frajilite potansyèl nan kòd la.
Apre yo fin idantifye premye tras konpwomi aparèy yo nan Vandredi, enjenyè Facebook yo te kòmanse devlope yon metòd pwoteksyon, nan Dimanch yo te bloke brèch la nan nivo enfrastrikti sèvè lè l sèvi avèk yon solisyon, ak Lendi yo te kòmanse distribye yon aktyalizasyon ki fikse lojisyèl kliyan an. Li poko klè konbyen aparèy yo te atake lè l sèvi avèk vilnerabilite a. Sèl rapò yo rapòte se te yon tantativ san siksè nan Dimanch pou konpwomi smartphone youn nan aktivis dwa moun yo lè l sèvi avèk yon metòd okoumansman de teknoloji NSO Group, osi byen ke yon tantativ atake smartphone la nan yon anplwaye nan òganizasyon dwa moun Amnisti Entènasyonal la.
Pwoblèm lan te san piblisite pa nesesè Konpayi Izraelyen NSO Group, ki te kapab sèvi ak vilnerabilite a enstale espyon sou smartphones bay siveyans pa ajans ki fè respekte lalwa. NSO te di ke li analize kliyan ak anpil atansyon (li travay sèlman ak ajans ki fè respekte lalwa ak entèlijans) epi li envestige tout plent abi. An patikilye, gen yon jijman kounye a te inisye ki gen rapò ak atak anrejistre sou WhatsApp.
NSO demanti patisipasyon nan atak espesifik ak reklamasyon sèlman pou devlope teknoloji pou ajans entèlijans, men aktivis dwa moun viktim nan gen entansyon pwouve nan tribinal ke konpayi an pataje responsablite ak kliyan ki abize lojisyèl yo ba yo a, ak vann pwodwi li yo bay sèvis li te ye pou. vyolasyon dwa moun yo.
Facebook inisye yon ankèt sou konpwomi posib aparèy yo e semèn pase a an prive pataje premye rezilta yo ak Depatman Jistis Ameriken an, epi tou li te avèti plizyè òganizasyon dwa moun sou pwoblèm nan pou kowòdone konsyantizasyon piblik (gen apeprè 1.5 milya enstalasyon WhatsApp atravè lemond).
Sous: opennet.ru