クリティカルに関する情報
WhatsApp モバイル アプリケーションの (CVE-2019-3568)。これにより、特別に設計された音声通話を送信することでコードを実行できます。 攻撃が成功するためには、悪意のある呼び出しに応答する必要はなく、呼び出しだけで十分です。 ただし、そのような通話は通話ログに記録されないことが多く、ユーザーは攻撃に気付かない可能性があります。
この脆弱性は Signal プロトコルとは関係ありませんが、WhatsApp 固有の VoIP スタックのバッファ オーバーフローによって引き起こされます。 この問題は、特別に設計された一連の SRTCP パケットを被害者のデバイスに送信することで悪用される可能性があります。 この脆弱性は、WhatsApp for Android (2.19.134 で修正)、WhatsApp Business for Android (2.19.44 で修正)、WhatsApp for iOS (2.19.51)、WhatsApp Business for iOS (2.19.51)、WhatsApp for Windows Phone ( 2.18.348) および Tizen 用 WhatsApp (2.18.15)。
興味深いことに、昨年の WhatsApp と Facetime Project Zero は、音声通話に関連付けられた制御メッセージが、ユーザーが通話に応答する前の段階で送信および処理されることを可能にする欠陥に注目しました。 WhatsApp はこの機能を削除することが推奨されており、ファジング テストを実施する際に、そのようなメッセージを送信するとアプリケーションのクラッシュにつながることが示されました。 昨年でさえ、コードに潜在的な脆弱性があることが知られていました。
金曜日にデバイス侵害の最初の痕跡を特定した後、Facebook のエンジニアは保護方法の開発を開始し、日曜日には回避策を使用してサーバー インフラストラクチャ レベルで抜け穴をブロックし、月曜日にはクライアント ソフトウェアを修正するアップデートの配布を開始しました。 この脆弱性を利用して攻撃されたデバイスの数はまだ明らかではありません。 日曜日に報告されたのは、NSOグループのテクノロジーを彷彿とさせる手法を使用して人権活動家XNUMX人のスマートフォンを侵害する試みと、人権団体アムネスティ・インターナショナルの職員のスマートフォンを攻撃する試みのみが失敗に終わったと報告されただけである。
問題は不必要な宣伝がなかったことだ イスラエルの企業 NSO グループは、この脆弱性を利用してスマートフォンにスパイウェアをインストールし、法執行機関による監視を行うことができました。 NSOは、顧客を非常に注意深く審査し(法執行機関と諜報機関とのみ連携している)、虐待に関するすべての苦情を調査していると述べた。 特に、WhatsApp に対する記録された攻撃に関連する裁判が開始されました。
NSOは特定の攻撃への関与を否定し、諜報機関向けの技術開発のみを行っていると主張しているが、被害者の人権活動家は、同社が提供されたソフトウェアを悪用し、その製品をサービスに販売した顧客と責任を共有していることを法廷で証明するつもりだ。彼らの人権侵害。
Facebookはデバイスの侵害の可能性に関する調査を開始し、先週最初の結果を米国司法省と非公開で共有し、また一般の認識を調整するためにこの問題についていくつかの人権団体に通知した(WhatsAppのインストール数は世界中で約1.5億件)。
出所: オープンネット.ru