Információk a kritikusokról
(CVE-2019-3568) a WhatsApp mobilalkalmazásban, amely lehetővé teszi a kód végrehajtását egy speciálisan kialakított hanghívás küldésével. A sikeres támadáshoz nem szükséges válaszolni egy rosszindulatú hívásra, elég egy hívás. Az ilyen hívások azonban gyakran nem jelennek meg a hívásnaplóban, és a felhasználó észrevétlen maradhat a támadás.
A biztonsági rés nem a Signal protokollhoz kapcsolódik, hanem a WhatsApp-specifikus VoIP-verem puffertúlcsordulása okozza. A probléma úgy aknázható ki, hogy speciálisan kialakított SRTCP-csomagokat küldünk az áldozat eszközére. A sérülékenység a WhatsApp for Android (javítva: 2.19.134), a WhatsApp Business for Android (javítva: 2.19.44), a WhatsApp for iOS (2.19.51), a WhatsApp Business for iOS (2.19.51), a WhatsApp for Windows Phone ( 2.18.348) és WhatsApp for Tizen (2.18.15).
Érdekes módon a tavalyiban A WhatsApp és a Facetime Project Zero felhívta a figyelmet egy olyan hibára, amely lehetővé teszi a hanghívásokhoz kapcsolódó vezérlőüzenetek elküldését és feldolgozását még azelőtt, hogy a felhasználó elfogadná a hívást. A WhatsApp számára javasolták, hogy távolítsa el ezt a funkciót, és bebizonyosodott, hogy egy fuzzing teszt végrehajtásakor az ilyen üzenetek küldése az alkalmazás összeomlásához vezet, pl. Már tavaly is lehetett tudni, hogy a kódban potenciális sérülékenységek vannak.
A Facebook mérnökei pénteken az eszközkompromittálás első nyomainak azonosítása után védelmi módszer kidolgozásába kezdtek, vasárnap pedig egy kerülő megoldással blokkolták a kiskaput a szerver infrastruktúra szintjén, hétfőn pedig megkezdték a kliensszoftvert javító frissítés terjesztését. Egyelőre nem világos, hogy hány eszközt támadtak meg a biztonsági rés segítségével. Vasárnap csak egy sikertelen kísérletről számoltak be, hogy az NSO Group technológiájára emlékeztető módszerrel kompromittálták az egyik jogvédő okostelefonját, valamint az Amnesty International jogvédő szervezet egyik alkalmazottjának okostelefonját.
A probléma fölösleges nyilvánosság nélkül volt Az izraeli NSO Group cég, amely a biztonsági rést felhasználva kémprogramokat tudott telepíteni az okostelefonokra a bűnüldöző szervek általi megfigyelés érdekében. Az NSO azt mondta, hogy nagyon alaposan átvizsgálja az ügyfeleket (csak a bűnüldöző szervekkel és a titkosszolgálatokkal működik együtt), és minden visszaélésre vonatkozó panaszt kivizsgál. Különösen most indult tárgyalás a WhatsApp elleni rögzített támadásokkal kapcsolatban.
Az NSO tagadja, hogy részt vett volna konkrét támadásokban, és csak azt állítja, hogy hírszerző ügynökségek számára fejleszt technológiát, de az áldozat jogvédő aktivista a bíróságon kívánja bizonyítani, hogy a cég megosztja a felelősséget azokkal az ügyfelekkel, akik visszaélnek a számukra biztosított szoftverrel, és termékeiket olyan szolgáltatásoknak adták el. emberi jogaik megsértését.
A Facebook vizsgálatot kezdeményezett az eszközök esetleges kompromittálása ügyében, és a múlt héten privátban megosztotta az első eredményeket az amerikai igazságügyi minisztériummal, valamint több emberi jogi szervezetet is értesített a problémáról, hogy összehangolják a köztudatosítást (körülbelül 1.5 milliárd WhatsApp-telepítés van világszerte).
Forrás: opennet.ru