WhatsApp ಅಪ್ಲಿಕೇಶನ್‌ನಲ್ಲಿ ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆ, ಮಾಲ್‌ವೇರ್‌ನ ಪರಿಚಯಕ್ಕೆ ಸೂಕ್ತವಾಗಿದೆ

ನಿರ್ಣಾಯಕ ಬಗ್ಗೆ ಮಾಹಿತಿ
ದುರ್ಬಲತೆಗಳು (CVE-2019-3568) WhatsApp ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ನಲ್ಲಿ, ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ ಧ್ವನಿ ಕರೆಯನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ ನಿಮ್ಮ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಯಶಸ್ವಿ ದಾಳಿಗೆ, ದುರುದ್ದೇಶಪೂರಿತ ಕರೆಗೆ ಪ್ರತಿಕ್ರಿಯೆ ಅಗತ್ಯವಿಲ್ಲ; ಕರೆ ಸಾಕು. ಆದಾಗ್ಯೂ, ಅಂತಹ ಕರೆ ಸಾಮಾನ್ಯವಾಗಿ ಕರೆ ಲಾಗ್‌ನಲ್ಲಿ ಗೋಚರಿಸುವುದಿಲ್ಲ ಮತ್ತು ದಾಳಿಯು ಬಳಕೆದಾರರ ಗಮನಕ್ಕೆ ಬಾರದೆ ಹೋಗಬಹುದು.

ದುರ್ಬಲತೆಯು ಸಿಗ್ನಲ್ ಪ್ರೋಟೋಕಾಲ್‌ಗೆ ಸಂಬಂಧಿಸಿಲ್ಲ, ಆದರೆ WhatsApp-ನಿರ್ದಿಷ್ಟ VoIP ಸ್ಟಾಕ್‌ನಲ್ಲಿನ ಬಫರ್ ಓವರ್‌ಫ್ಲೋನಿಂದ ಉಂಟಾಗುತ್ತದೆ. ಬಲಿಪಶುವಿನ ಸಾಧನಕ್ಕೆ ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ SRTCP ಪ್ಯಾಕೆಟ್‌ಗಳ ಸರಣಿಯನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ ಸಮಸ್ಯೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳಬಹುದು. ದುರ್ಬಲತೆಯು Android ಗಾಗಿ WhatsApp (2.19.134 ರಲ್ಲಿ ಸ್ಥಿರವಾಗಿದೆ), Android ಗಾಗಿ WhatsApp ವ್ಯಾಪಾರ (2.19.44 ರಲ್ಲಿ ಸ್ಥಿರವಾಗಿದೆ), iOS ಗಾಗಿ WhatsApp (2.19.51), iOS ಗಾಗಿ WhatsApp ವ್ಯಾಪಾರ (2.19.51), Windows Phone ಗಾಗಿ WhatsApp (2.18.348) ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ. 2.18.15) ಮತ್ತು ಟೈಜೆನ್‌ಗಾಗಿ WhatsApp (XNUMX).

ಕುತೂಹಲಕಾರಿಯಾಗಿ, ಕಳೆದ ವರ್ಷದಲ್ಲಿ ಸಂಶೋಧನೆ ಭದ್ರತೆ ವಾಟ್ಸಾಪ್ ಮತ್ತು ಫೇಸ್‌ಟೈಮ್ ಪ್ರಾಜೆಕ್ಟ್ ಝೀರೋ ದೋಷದತ್ತ ಗಮನ ಸೆಳೆದಿದ್ದು, ಬಳಕೆದಾರರು ಕರೆ ಸ್ವೀಕರಿಸುವ ಮೊದಲು ಧ್ವನಿ ಕರೆಗೆ ಸಂಬಂಧಿಸಿದ ನಿಯಂತ್ರಣ ಸಂದೇಶಗಳನ್ನು ಕಳುಹಿಸಲು ಮತ್ತು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲು ಅನುಮತಿಸುತ್ತದೆ. ಈ ವೈಶಿಷ್ಟ್ಯವನ್ನು ತೆಗೆದುಹಾಕಲು WhatsApp ಅನ್ನು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ ಮತ್ತು ಅಸ್ಪಷ್ಟ ಪರೀಕ್ಷೆಯನ್ನು ನಡೆಸುವಾಗ, ಅಂತಹ ಸಂದೇಶಗಳನ್ನು ಕಳುಹಿಸುವುದು ಅಪ್ಲಿಕೇಶನ್ ಕ್ರ್ಯಾಶ್‌ಗಳಿಗೆ ಕಾರಣವಾಗುತ್ತದೆ ಎಂದು ತೋರಿಸಲಾಗಿದೆ, ಅಂದರೆ. ಕಳೆದ ವರ್ಷವೂ ಕೋಡ್‌ನಲ್ಲಿ ಸಂಭಾವ್ಯ ದೋಷಗಳಿವೆ ಎಂದು ತಿಳಿದುಬಂದಿದೆ.

ಶುಕ್ರವಾರ ಸಾಧನದ ಹೊಂದಾಣಿಕೆಯ ಮೊದಲ ಕುರುಹುಗಳನ್ನು ಗುರುತಿಸಿದ ನಂತರ, ಫೇಸ್‌ಬುಕ್ ಎಂಜಿನಿಯರ್‌ಗಳು ರಕ್ಷಣೆ ವಿಧಾನವನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲು ಪ್ರಾರಂಭಿಸಿದರು, ಭಾನುವಾರ ಅವರು ಪರಿಹಾರವನ್ನು ಬಳಸಿಕೊಂಡು ಸರ್ವರ್ ಮೂಲಸೌಕರ್ಯ ಮಟ್ಟದಲ್ಲಿ ಲೋಪದೋಷವನ್ನು ನಿರ್ಬಂಧಿಸಿದರು ಮತ್ತು ಸೋಮವಾರ ಅವರು ಕ್ಲೈಂಟ್ ಸಾಫ್ಟ್‌ವೇರ್ ಅನ್ನು ಸರಿಪಡಿಸುವ ನವೀಕರಣವನ್ನು ವಿತರಿಸಲು ಪ್ರಾರಂಭಿಸಿದರು. ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಎಷ್ಟು ಸಾಧನಗಳ ಮೇಲೆ ದಾಳಿ ಮಾಡಲಾಗಿದೆ ಎಂಬುದು ಇನ್ನೂ ಸ್ಪಷ್ಟವಾಗಿಲ್ಲ. ಎನ್‌ಎಸ್‌ಒ ಗ್ರೂಪ್ ತಂತ್ರಜ್ಞಾನವನ್ನು ನೆನಪಿಸುವ ವಿಧಾನವನ್ನು ಬಳಸಿಕೊಂಡು ಮಾನವ ಹಕ್ಕುಗಳ ಕಾರ್ಯಕರ್ತರೊಬ್ಬರ ಸ್ಮಾರ್ಟ್‌ಫೋನ್‌ನೊಂದಿಗೆ ರಾಜಿ ಮಾಡಿಕೊಳ್ಳಲು ಭಾನುವಾರ ವಿಫಲ ಪ್ರಯತ್ನ ಮತ್ತು ಮಾನವ ಹಕ್ಕುಗಳ ಸಂಸ್ಥೆ ಅಮ್ನೆಸ್ಟಿ ಇಂಟರ್‌ನ್ಯಾಷನಲ್‌ನ ಉದ್ಯೋಗಿಯ ಸ್ಮಾರ್ಟ್‌ಫೋನ್ ಮೇಲೆ ದಾಳಿ ಮಾಡುವ ಪ್ರಯತ್ನ ಮಾತ್ರ ವರದಿಯಾಗಿದೆ.

ಅನಗತ್ಯ ಪ್ರಚಾರವಿಲ್ಲದೆ ಸಮಸ್ಯೆಯಾಗಿದೆ ಗುರುತಿಸಲಾಗಿದೆ ಇಸ್ರೇಲಿ ಕಂಪನಿ NSO ಗ್ರೂಪ್, ಇದು ಕಾನೂನು ಜಾರಿ ಸಂಸ್ಥೆಗಳಿಂದ ಕಣ್ಗಾವಲು ಒದಗಿಸಲು ಸ್ಮಾರ್ಟ್‌ಫೋನ್‌ಗಳಲ್ಲಿ ಸ್ಪೈವೇರ್ ಅನ್ನು ಸ್ಥಾಪಿಸಲು ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಲು ಸಮರ್ಥವಾಗಿದೆ. NSO ಇದು ಗ್ರಾಹಕರನ್ನು ಬಹಳ ಎಚ್ಚರಿಕೆಯಿಂದ ಪರೀಕ್ಷಿಸುತ್ತದೆ (ಇದು ಕಾನೂನು ಜಾರಿ ಮತ್ತು ಗುಪ್ತಚರ ಸಂಸ್ಥೆಗಳೊಂದಿಗೆ ಮಾತ್ರ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ) ಮತ್ತು ದುರುಪಯೋಗದ ಎಲ್ಲಾ ದೂರುಗಳನ್ನು ತನಿಖೆ ಮಾಡುತ್ತದೆ. ನಿರ್ದಿಷ್ಟವಾಗಿ ಹೇಳುವುದಾದರೆ, ವಾಟ್ಸಾಪ್‌ನಲ್ಲಿ ದಾಖಲಾದ ದಾಳಿಗಳಿಗೆ ಸಂಬಂಧಿಸಿದಂತೆ ಈಗ ವಿಚಾರಣೆಯನ್ನು ಪ್ರಾರಂಭಿಸಲಾಗಿದೆ.

NSO ನಿರ್ದಿಷ್ಟ ದಾಳಿಗಳಲ್ಲಿ ಭಾಗಿಯಾಗಿರುವುದನ್ನು ನಿರಾಕರಿಸುತ್ತದೆ ಮತ್ತು ಗುಪ್ತಚರ ಏಜೆನ್ಸಿಗಳಿಗೆ ತಂತ್ರಜ್ಞಾನವನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲು ಮಾತ್ರ ಹಕ್ಕು ಸಾಧಿಸುತ್ತದೆ, ಆದರೆ ಬಲಿಪಶು ಮಾನವ ಹಕ್ಕುಗಳ ಕಾರ್ಯಕರ್ತ ನ್ಯಾಯಾಲಯದಲ್ಲಿ ಸಾಬೀತುಪಡಿಸಲು ಉದ್ದೇಶಿಸಿದೆ, ಆದರೆ ಅವರಿಗೆ ಒದಗಿಸಿದ ಸಾಫ್ಟ್‌ವೇರ್ ಅನ್ನು ದುರುಪಯೋಗಪಡಿಸಿಕೊಳ್ಳುವ ಗ್ರಾಹಕರೊಂದಿಗೆ ಕಂಪನಿಯು ಜವಾಬ್ದಾರಿಯನ್ನು ಹಂಚಿಕೊಳ್ಳುತ್ತದೆ ಮತ್ತು ಅದರ ಉತ್ಪನ್ನಗಳನ್ನು ತಿಳಿದಿರುವ ಸೇವೆಗಳಿಗೆ ಮಾರಾಟ ಮಾಡುತ್ತದೆ. ಅವರ ಮಾನವ ಹಕ್ಕುಗಳ ಉಲ್ಲಂಘನೆ.

ಸಾಧನಗಳ ಸಂಭವನೀಯ ಹೊಂದಾಣಿಕೆಯ ಕುರಿತು ಫೇಸ್‌ಬುಕ್ ತನಿಖೆಯನ್ನು ಪ್ರಾರಂಭಿಸಿತು ಮತ್ತು ಕಳೆದ ವಾರ ಯುಎಸ್ ಡಿಪಾರ್ಟ್‌ಮೆಂಟ್ ಆಫ್ ಜಸ್ಟೀಸ್‌ನೊಂದಿಗೆ ಖಾಸಗಿಯಾಗಿ ಮೊದಲ ಫಲಿತಾಂಶಗಳನ್ನು ಹಂಚಿಕೊಂಡಿತು ಮತ್ತು ಸಾರ್ವಜನಿಕ ಜಾಗೃತಿಯನ್ನು ಸಂಘಟಿಸಲು ಸಮಸ್ಯೆಯ ಕುರಿತು ಹಲವಾರು ಮಾನವ ಹಕ್ಕುಗಳ ಸಂಸ್ಥೆಗಳಿಗೆ ಸೂಚನೆ ನೀಡಿತು (ವಿಶ್ವದಾದ್ಯಂತ ಸುಮಾರು 1.5 ಶತಕೋಟಿ WhatsApp ಸ್ಥಾಪನೆಗಳಿವೆ).

ಮೂಲ: opennet.ru