Տեղեկություններ կրիտիկական
(CVE-2019-3568) WhatsApp բջջային հավելվածում, որը թույլ է տալիս կատարել ձեր կոդը՝ ուղարկելով հատուկ մշակված ձայնային զանգ։ Հաջող հարձակման համար չարամիտ զանգին պատասխան չի պահանջվում, զանգը բավարար է: Այնուամենայնիվ, նման զանգը հաճախ չի հայտնվում զանգերի մատյանում, և հարձակումը կարող է աննկատ մնալ օգտատիրոջ կողմից:
Խոցելիությունը կապված չէ Signal արձանագրության հետ, այլ պայմանավորված է WhatsApp-ի հատուկ VoIP փաթեթում բուֆերային արտահոսքով: Խնդիրը կարող է օգտագործվել՝ ուղարկելով հատուկ նախագծված SRTCP փաթեթների շարք զոհի սարքին: Խոցելիությունը ազդում է WhatsApp-ի համար Android-ի համար (ֆիքսված է 2.19.134-ում), WhatsApp Business-ի համար Android-ի համար (ֆիքսված է 2.19.44-ում), WhatsApp-ի համար iOS (2.19.51), WhatsApp Business-ի համար iOS-ի համար (2.19.51), WhatsApp-ի համար Windows Phone-ում ( 2.18.348) և WhatsApp-ը Tizen-ի համար (2.18.15):
Հետաքրքիր է, որ անցյալ տարի WhatsApp-ը և Facetime Project Zero-ն ուշադրություն են հրավիրել մի թերության վրա, որը թույլ է տալիս ձայնային զանգի հետ կապված կառավարման հաղորդագրությունները ուղարկել և մշակել այն փուլում, երբ օգտատերը կընդունի զանգը: WhatsApp-ին առաջարկվել է հեռացնել այս ֆունկցիան և ցույց է տրվել, որ fuzzing թեստ անցկացնելիս նման հաղորդագրություններ ուղարկելը հանգեցնում է հավելվածի խափանումների, այսինքն. Անգամ անցյալ տարի հայտնի էր, որ օրենսգրքում պոտենցիալ խոցելիություններ կան։
Ուրբաթ օրը սարքի փոխզիջման առաջին հետքերը հայտնաբերելուց հետո Facebook-ի ինժեներները սկսեցին պաշտպանական մեթոդ մշակել, կիրակի օրը նրանք արգելափակեցին սողանցքը սերվերի ենթակառուցվածքի մակարդակում՝ օգտագործելով լուծում, իսկ երկուշաբթի նրանք սկսեցին թարմացում տարածել, որը շտկեց հաճախորդի ծրագրակազմը: Դեռ պարզ չէ, թե քանի սարք է հարձակվել խոցելիության միջոցով: Կիրակի օրը գրանցվել է միայն իրավապաշտպաններից մեկի սմարթֆոնը խախտելու անհաջող փորձ՝ օգտագործելով NSO Group տեխնոլոգիան հիշեցնող մեթոդ, ինչպես նաև Amnesty International իրավապաշտպան կազմակերպության աշխատակցի սմարթֆոնի վրա հարձակվելու փորձ։
Խնդիրն առանց ավելորդ հրապարակայնության էր Իսրայելական NSO Group ընկերությունը, որը կարողացել է օգտագործել խոցելիությունը՝ սմարթֆոնների վրա լրտեսող ծրագրեր տեղադրելու համար՝ իրավապահ մարմինների կողմից հսկողություն ապահովելու համար։ NSO-ն ասաց, որ շատ ուշադիր զննում է հաճախորդներին (այն աշխատում է միայն իրավապահ և հետախուզական մարմինների հետ) և հետաքննում է չարաշահումների վերաբերյալ բոլոր բողոքները: Մասնավորապես, այժմ դատավարություն է սկսվել WhatsApp-ի վրա գրանցված հարձակումների հետ կապված։
NSO-ն հերքում է իր մասնակցությունը կոնկրետ հարձակումներին և պնդում է միայն հետախուզական գործակալությունների համար տեխնոլոգիա մշակելու մասին, սակայն զոհված իրավապաշտպանը մտադիր է դատարանում ապացուցել, որ ընկերությունը պատասխանատվություն է կրում հաճախորդների հետ, ովքեր չարաշահում են իրենց տրամադրված ծրագրաշարը և վաճառում են իր արտադրանքը հայտնի ծառայություններին։ նրանց իրավունքների խախտումները։
Facebook-ը հետաքննություն է սկսել սարքերի հնարավոր խախտման վերաբերյալ և անցյալ շաբաթ մասնավոր կերպով կիսվել է առաջին արդյունքներով ԱՄՆ արդարադատության նախարարության հետ, ինչպես նաև տեղեկացրել է մի քանի իրավապաշտպան կազմակերպությունների խնդրի մասին՝ հանրային իրազեկումը համակարգելու համար (աշխարհում կա մոտ 1.5 միլիարդ WhatsApp տեղադրում):
Source: opennet.ru