Informazioni critiche
(CVE-2019-3568) nell'applicazione mobile WhatsApp, che ti consente di eseguire il tuo codice inviando una chiamata vocale appositamente progettata. Per un attacco riuscito non è necessaria una risposta ad una chiamata malevola; Tuttavia, una chiamata di questo tipo spesso non viene visualizzata nel registro delle chiamate e l'attacco può passare inosservato all'utente.
La vulnerabilità non è correlata al protocollo Signal, ma è causata da un buffer overflow nello stack VoIP specifico di WhatsApp. Il problema può essere sfruttato inviando una serie appositamente progettata di pacchetti SRTCP al dispositivo della vittima. La vulnerabilità interessa WhatsApp per Android (risolto nella versione 2.19.134), WhatsApp Business per Android (risolto nella versione 2.19.44), WhatsApp per iOS (2.19.51), WhatsApp Business per iOS (2.19.51), WhatsApp per Windows Phone ( 2.18.348) e WhatsApp per Tizen (2.18.15).
È interessante notare che l'anno scorso WhatsApp e FaceTime Project Zero hanno attirato l'attenzione su una falla che consente di inviare ed elaborare i messaggi di controllo associati a una chiamata vocale prima che l'utente accetti la chiamata. È stato consigliato a WhatsApp di rimuovere questa funzionalità ed è stato dimostrato che durante l'esecuzione di un test di fuzzing, l'invio di tali messaggi porta al crash dell'applicazione, ad es. Già l’anno scorso si sapeva che nel codice c’erano potenziali vulnerabilità.
Dopo aver individuato venerdì le prime tracce di compromissione del dispositivo, gli ingegneri di Facebook hanno iniziato a sviluppare un metodo di protezione, domenica hanno bloccato la lacuna a livello dell'infrastruttura del server con un workaround e lunedì hanno iniziato a distribuire un aggiornamento che ha corretto il software client. Non è ancora chiaro quanti dispositivi siano stati attaccati sfruttando questa vulnerabilità. Domenica è stato segnalato solo un tentativo fallito di compromettere lo smartphone di uno degli attivisti per i diritti umani utilizzando un metodo che ricorda la tecnologia del gruppo NSO, nonché un tentativo di attacco allo smartphone di un dipendente dell'organizzazione per i diritti umani Amnesty International.
Il problema era senza pubblicità inutile La società israeliana NSO Group, che è riuscita a sfruttare la vulnerabilità per installare spyware sugli smartphone per garantire la sorveglianza da parte delle forze dell'ordine. NSO ha affermato di selezionare i clienti con molta attenzione (lavora solo con le forze dell'ordine e le agenzie di intelligence) e di indagare su tutte le denunce di abuso. In particolare è stato ora avviato un processo relativo agli attacchi registrati su WhatsApp.
NSO nega il coinvolgimento in attacchi specifici e sostiene solo di sviluppare tecnologia per le agenzie di intelligence, ma l'attivista per i diritti umani vittima intende dimostrare in tribunale che la società condivide la responsabilità con i clienti che abusano del software fornito loro e hanno venduto i suoi prodotti a servizi noti per le loro violazioni dei diritti umani.
Facebook ha avviato un'indagine sulla possibile compromissione dei dispositivi e la settimana scorsa ha condiviso privatamente i primi risultati con il Dipartimento di Giustizia degli Stati Uniti e ha anche informato diverse organizzazioni per i diritti umani del problema per coordinare la sensibilizzazione pubblica (ci sono circa 1.5 miliardi di installazioni di WhatsApp in tutto il mondo).
Fonte: opennet.ru