Сын жөнүндө маалымат
(CVE-2019-3568) WhatsApp мобилдик тиркемесинде, бул сизге атайын иштелип чыккан үн чалуусун жөнөтүү аркылуу кодуңузду аткарууга мүмкүндүк берет. Ийгиликтүү чабуул үчүн зыяндуу чалууга жооп берүү талап кылынбайт; Бирок, мындай чалуу көбүнчө чалуу журналында көрүнбөйт жана чабуул колдонуучуга байкалбай калышы мүмкүн.
Алсыздык Сигнал протоколуна байланыштуу эмес, бирок WhatsApp үчүн атайын VoIP стекиндеги буфердин толуп кетишинен улам келип чыккан. Көйгөйдү жабырлануучунун түзмөгүнө SRTCP пакеттеринин атайын иштелип чыккан сериясын жөнөтүү аркылуу колдонсо болот. Алсыздык Android үчүн WhatsApp (2.19.134-те оңдолду), Android үчүн WhatsApp Business (2.19.44-те оңдолду), iOS үчүн WhatsApp (2.19.51), iOS үчүн WhatsApp Business (2.19.51), Windows Phone үчүн WhatsApp ( 2.18.348) жана Tizen үчүн WhatsApp (2.18.15).
Кызыгы, былтыркы WhatsApp жана Facetime Project Zero үн чалуу менен байланышкан башкаруу билдирүүлөрүн колдонуучу чалууну кабыл алганга чейинки баскычта жөнөтүүгө жана иштетүүгө мүмкүндүк берген кемчиликке көңүл бурду. WhatsApp бул функцияны алып салуу сунуш кылынган жана fuzzing тестин өткөрүүдө мындай билдирүүлөрдү жөнөтүү тиркемелердин бузулушуна алып келери көрсөтүлгөн, б.а. Ал тургай өткөн жылы кодексте потенциалдуу кемчиликтер бар экени белгилүү болгон.
Жума күнү түзмөктүн компромиссинин алгачкы издерин аныктагандан кийин, Facebook инженерлери коргоо ыкмасын иштеп чыга башташты, жекшемби күнү алар сервердин инфраструктурасынын деңгээлиндеги жылчыкты убактылуу чечүүнүн жардамы менен жаап салышты жана дүйшөмбү күнү алар кардар программасын оңдогон жаңыртууну тарата башташты. Алсыздык аркылуу канча түзмөккө чабуул жасалганы азырынча белгисиз. Жекшембиде укук коргоочулардын биринин смартфонун NSO Group технологиясын эске салган ыкма менен бузуп алуу аракети, ошондой эле Amnesty International укук коргоо уюмунун кызматкеринин смартфонуна кол салуу аракети болгону кабарланды.
Маселе ашыкча жарыясыз эле Израилдик NSO Group компаниясы күч органдары тарабынан байкоо жүргүзүү үчүн смартфондорго шпиондук программаларды орнотуу үчүн аялуу мүмкүнчүлүгүн колдоно алган. NSO кардарларды өтө кылдаттык менен текшерет (ал укук коргоо жана чалгын органдары менен гана иштейт) жана кыянаттык боюнча бардык арыздарды иликтейт. Тактап айтканда, азыр WhatsAppка катталган чабуулдарга байланыштуу сот иши башталды.
NSO атайын чабуулдарга катыштыгы бар экенин четке кагып, атайын кызматтар үчүн технологияларды иштеп чыгуу үчүн гана дооматтарды четке кагат, бирок жабырлануучу укук коргоочу сотто компания аларга берилген программалык камсыздоону кыянаттык менен пайдаланган кардарлар менен жоопкерчиликти бөлүшөрүн жана өз өнүмдөрүн белгилүү кызматтарга сатканын далилдегиси келет. алардын адам укуктарынын бузулушу.
Facebook түзмөктөрдүн мүмкүн болгон компромисси боюнча иликтөөнү баштап, өткөн аптада биринчи жыйынтыктарды АКШнын Юстиция министрлиги менен жеке бөлүштү, ошондой эле коомчулуктун маалымдуулугун координациялоо үчүн көйгөй тууралуу бир нече укук коргоочу уюмдарга кабарлады (дүйнө жүзү боюнча 1.5 миллиард WhatsApp орнотуулары бар).
Source: opennet.ru