Сын туралы мәлімет
(CVE-2019-3568) WhatsApp мобильді қосымшасында, ол арнайы жасалған дауыстық қоңырауды жіберу арқылы кодты орындауға мүмкіндік береді. Сәтті шабуыл үшін зиянды қоңырауға жауап беру қажет емес, қоңырау жеткілікті. Дегенмен, мұндай қоңырау жиі қоңыраулар журналында пайда болмайды және шабуыл пайдаланушының назарынан тыс қалуы мүмкін.
Осалдық Сигнал протоколына қатысты емес, бірақ WhatsApp-арнайы VoIP стекіндегі буфердің толып кетуінен туындайды. Мәселені жәбірленушінің құрылғысына SRTCP пакеттерінің арнайы әзірленген сериясын жіберу арқылы пайдалануға болады. Осалдық Android жүйесіне арналған WhatsApp (2.19.134-те түзетілген), Android жүйесіне арналған WhatsApp Business (2.19.44-те түзетілген), iOS-қа арналған WhatsApp (2.19.51), iOS-қа арналған WhatsApp Business (2.19.51), Windows Phone-ға арналған WhatsApp-қа әсер етеді. 2.18.348) және Tizen үшін WhatsApp (2.18.15).
Бір қызығы, өткен жылы WhatsApp және Facetime Project Zero дауыстық қоңырауға байланысты басқару хабарламаларын пайдаланушы қоңырауды қабылдағанға дейін жіберуге және өңдеуге мүмкіндік беретін кемшілікке назар аударды. WhatsApp-қа бұл мүмкіндікті алып тастау ұсынылды және fuzzing тестін жүргізу кезінде мұндай хабарламаларды жіберу қолданбаның бұзылуына әкелетіні көрсетілді, яғни. Тіпті өткен жылдың өзінде кодексте ықтимал осалдықтардың бар екені белгілі болды.
Жұма күні құрылғының бұзылуының алғашқы іздерін анықтағаннан кейін, Facebook инженерлері қорғау әдісін әзірлеуге кірісті, жексенбіде олар уақытша шешім арқылы сервер инфрақұрылымы деңгейіндегі олқылықты бұғаттады және дүйсенбіде олар клиенттік бағдарламалық жасақтаманы түзететін жаңартуды тарата бастады. Әзірге осалдық арқылы қанша құрылғыға шабуыл жасалғаны белгісіз. Тек жексенбі күні NSO Group технологиясын еске түсіретін әдіспен құқық қорғаушылардың бірінің смартфонын бұзу әрекеті, сондай-ақ Amnesty International құқық қорғау ұйымы қызметкерінің смартфонына шабуыл жасау әрекеті ғана хабарланды.
Мәселе қажетсіз жарнамасыз болды Құқық қорғау органдарының бақылауын қамтамасыз ету үшін смартфондарға шпиондық бағдарламаларды орнату үшін осалдықты пайдалана алған израильдік NSO Group компаниясы. NSO ол тұтынушыларды өте мұқият тексереді (ол тек құқық қорғау және барлау органдарымен жұмыс істейді) және қиянат жасау туралы барлық шағымдарды зерттейді. Атап айтқанда, қазір WhatsApp желісіндегі тіркелген шабуылдарға қатысты сот процесі басталды.
NSO арнайы шабуылдарға қатысы барын жоққа шығарады және тек барлау агенттіктеріне арналған технологияны әзірлеуге қатысты мәлімдеме жасайды, бірақ жәбірленуші құқық қорғаушы сотта компанияның оларға берілген бағдарламалық жасақтаманы теріс пайдаланған және өз өнімдерін белгілі қызметтерге сатқан клиенттермен жауапкершілікті бөлісетінін дәлелдемекші. олардың адам құқықтарының бұзылуы.
Facebook құрылғылардың бұзылуына қатысты тергеуді бастады және өткен аптада алғашқы нәтижелерді АҚШ Әділет министрлігімен жеке бөлісті, сонымен қатар бірнеше адам құқықтарын қорғау ұйымдарын қоғамды ақпараттандыруды үйлестіру мәселесі туралы хабардар етті (бүкіл әлемде шамамен 1.5 миллиард WhatsApp қондырғысы бар).
Ақпарат көзі: opennet.ru