Informatiounen iwwer kritesch
(CVE-2019-3568) an der WhatsApp mobil Applikatioun, déi Iech erlaabt Äre Code auszeféieren andeems Dir e speziell entworfene Stëmmruff schéckt. Fir eng erfollegräich Attack ass eng Äntwert op e béiswëllegen Uruff net néideg; Wéi och ëmmer, esou en Uruff erschéngt dacks net am Uruffprotokoll an d'Attack kann vum Benotzer onnotéiert ginn.
D'Vulnerabilitéit ass net mam Signalprotokoll verbonnen, awer gëtt duerch e Pufferiwwerfluss am WhatsApp-spezifesche VoIP-Stack verursaacht. De Problem kann exploitéiert ginn andeems Dir eng speziell entworf Serie vu SRTCP Päck op den Apparat vum Affer schéckt. D'Vulnerabilitéit beaflosst WhatsApp fir Android (fix am 2.19.134), WhatsApp Business fir Android (fix am 2.19.44), WhatsApp fir iOS (2.19.51), WhatsApp Business fir iOS (2.19.51), WhatsApp fir Windows Phone ( 2.18.348) a WhatsApp fir Tizen (2.18.15).
Interessanterweis am leschte Joer WhatsApp a Facetime Project Zero hunn op e Feeler opmierksam gemaach, deen et erlaabt datt d'Kontrollmeldungen, déi mat engem Stëmmruff verbonne sinn, op der Bühn geschéckt a veraarbecht ginn ier de Benotzer den Uruff akzeptéiert. WhatsApp gouf empfohlen fir dës Feature ze läschen an et gouf gewisen datt wann Dir e Fuzzing Test duerchféiert, sou Messagen ze schécken féiert zu Applikatioun Crashen, d.h. Och d'lescht Joer war bekannt datt et potenziell Schwachstelle am Code waren.
Nodeem déi éischt Spure vum Apparat Kompromëss um Freideg identifizéiert hunn, hunn Facebook Ingenieuren ugefaang eng Schutzmethod z'entwéckelen, e Sonndeg hunn se d'Schleifen um Serverinfrastrukturniveau mat Hëllef vun enger Léisung blockéiert, an e Méindeg hunn se ugefaang en Update ze verdeelen deen d'Clientsoftware fixéiert huet. Et ass nach net kloer wéi vill Apparater mat der Schwachstelle attackéiert goufen. Nëmmen en net erfollegräiche Versuch gouf e Sonndeg gemellt, de Smartphone vun engem vun de Mënscherechtsaktivisten mat enger Method ze kompromittéieren, déi un d'NSO Group Technologie erënnert, wéi och e Versuch, de Smartphone vun engem Employé vun der Mënscherechtsorganisatioun Amnesty International ze attackéieren.
De Problem war ouni onnéideg Publizitéit D'israelesch Firma NSO Group, déi d'Schwachheet benotze konnt fir Spyware op Smartphones z'installéieren fir d'Iwwerwaachung vu Gesetzesbehörden ze bidden. NSO sot datt et Clienten ganz virsiichteg screent (et funktionnéiert nëmme mat Affekoten an Intelligenz Agenturen) an ënnersicht all Reklamatioune vu Mëssbrauch. Besonnesch ass elo e Prozess initiéiert am Zesummenhang mat opgehollen Attacken op WhatsApp.
NSO refuséiert d'Bedeelegung u spezifeschen Attacken a behaapt nëmmen Technologie fir Intelligenz Agenturen z'entwéckelen, awer den Affer Mënscherechtsaktivist wëll viru Geriicht beweisen datt d'Firma Verantwortung deelt mat Clienten déi d'Software mëssbrauchen, déi hinnen zur Verfügung gestallt gëtt, a seng Produkter un d'Servicer verkaaft, déi bekannt sinn fir hir Mënscherechtsverletzungen.
Facebook huet eng Enquête iwwer de méigleche Kompromëss vun Apparater initiéiert an d'lescht Woch privat déi éischt Resultater mam US Department of Justice gedeelt, an och verschidde Mënscherechtsorganisatiounen iwwer de Problem informéiert fir d'ëffentlech Sensibiliséierung ze koordinéieren (et ginn ongeféier 1.5 Milliarde WhatsApp Installatiounen weltwäit).
Source: opennet.ru