クリティカルに関する情報
この脆弱性は Signal プロトコルとは関係ありませんが、WhatsApp 固有の VoIP スタックのバッファ オーバーフローによって引き起こされます。 この問題は、特別に設計された一連の SRTCP パケットを被害者のデバイスに送信することで悪用される可能性があります。 この脆弱性は、WhatsApp for Android (2.19.134 で修正)、WhatsApp Business for Android (2.19.44 で修正)、WhatsApp for iOS (2.19.51)、WhatsApp Business for iOS (2.19.51)、WhatsApp for Windows Phone ( 2.18.348) および Tizen 用 WhatsApp (2.18.15)。
興味深いことに、昨年の
金曜日にデバイス侵害の最初の痕跡を特定した後、Facebook のエンジニアは保護方法の開発を開始し、日曜日には回避策を使用してサーバー インフラストラクチャ レベルで抜け穴をブロックし、月曜日にはクライアント ソフトウェアを修正するアップデートの配布を開始しました。 この脆弱性を利用して攻撃されたデバイスの数はまだ明らかではありません。 日曜日に報告されたのは、NSOグループのテクノロジーを彷彿とさせる手法を使用して人権活動家XNUMX人のスマートフォンを侵害する試みと、人権団体アムネスティ・インターナショナルの職員のスマートフォンを攻撃する試みのみが失敗に終わったと報告されただけである。
問題は不必要な宣伝がなかったことだ
NSOは特定の攻撃への関与を否定し、諜報機関向けの技術開発のみを行っていると主張しているが、被害者の人権活動家は、同社が提供されたソフトウェアを悪用し、その製品をサービスに販売した顧客と責任を共有していることを法廷で証明するつもりだ。彼らの人権侵害。
Facebookはデバイスの侵害の可能性に関する調査を開始し、先週最初の結果を米国司法省と非公開で共有し、また一般の認識を調整するためにこの問題についていくつかの人権団体に通知した(WhatsAppのインストール数は世界中で約1.5億件)。
出所: オープンネット.ru