Informazioni critiche
La vulnerabilità non è correlata al protocollo Signal, ma è causata da un buffer overflow nello stack VoIP specifico di WhatsApp. Il problema può essere sfruttato inviando una serie appositamente progettata di pacchetti SRTCP al dispositivo della vittima. La vulnerabilità interessa WhatsApp per Android (risolto nella versione 2.19.134), WhatsApp Business per Android (risolto nella versione 2.19.44), WhatsApp per iOS (2.19.51), WhatsApp Business per iOS (2.19.51), WhatsApp per Windows Phone ( 2.18.348) e WhatsApp per Tizen (2.18.15).
È interessante notare che l'anno scorso
Dopo aver individuato venerdì le prime tracce di compromissione del dispositivo, gli ingegneri di Facebook hanno iniziato a sviluppare un metodo di protezione, domenica hanno bloccato la lacuna a livello dell'infrastruttura del server con un workaround e lunedì hanno iniziato a distribuire un aggiornamento che ha corretto il software client. Non è ancora chiaro quanti dispositivi siano stati attaccati sfruttando questa vulnerabilità. Domenica è stato segnalato solo un tentativo fallito di compromettere lo smartphone di uno degli attivisti per i diritti umani utilizzando un metodo che ricorda la tecnologia del gruppo NSO, nonché un tentativo di attacco allo smartphone di un dipendente dell'organizzazione per i diritti umani Amnesty International.
Il problema era senza pubblicità inutile
NSO nega il coinvolgimento in attacchi specifici e sostiene solo di sviluppare tecnologia per le agenzie di intelligence, ma l'attivista per i diritti umani vittima intende dimostrare in tribunale che la società condivide la responsabilità con i clienti che abusano del software fornito loro e hanno venduto i suoi prodotti a servizi noti per le loro violazioni dei diritti umani.
Facebook ha avviato un'indagine sulla possibile compromissione dei dispositivi e la settimana scorsa ha condiviso privatamente i primi risultati con il Dipartimento di Giustizia degli Stati Uniti e ha anche informato diverse organizzazioni per i diritti umani del problema per coordinare la sensibilizzazione pubblica (ci sono circa 1.5 miliardi di installazioni di WhatsApp in tutto il mondo).
Fonte: opennet.ru