Informacija apie kritinę
(CVE-2019-3568) WhatsApp mobiliojoje programėlėje, kuri leidžia vykdyti savo kodą siunčiant specialiai sukurtą balso skambutį. Sėkmingai atakai reaguoti į kenkėjišką skambutį pakanka. Tačiau toks skambutis dažnai neatsiranda skambučių žurnale ir ataka gali likti nepastebėta vartotojui.
Pažeidžiamumas nėra susijęs su signalo protokolu, bet jį sukelia buferio perpildymas konkrečiai WhatsApp VoIP kamino. Problema gali būti išnaudota siunčiant specialiai sukurtą SRTCP paketų seriją į aukos įrenginį. Pažeidžiamumas paveikia „WhatsApp for Android“ (ištaisyta 2.19.134), „WhatsApp Business for Android“ (ištaisyta 2.19.44), „WhatsApp for iOS“ (2.19.51), „WhatsApp Business for iOS“ (2.19.51), „WhatsApp for Windows Phone“ ( 2.18.348) ir WhatsApp for Tizen (2.18.15).
Įdomu tai, kad pernai „WhatsApp“ ir „Facetime Project Zero“ atkreipė dėmesį į trūkumą, leidžiantį su balso skambučiu susijusius valdymo pranešimus siųsti ir apdoroti prieš vartotojui priimant skambutį. „WhatsApp“ buvo rekomenduota pašalinti šią funkciją ir buvo parodyta, kad atliekant „fuzzing“ testą, tokių pranešimų siuntimas veda į programos strigimus, t.y. Net praėjusiais metais buvo žinoma, kad kode yra galimų spragų.
Penktadienį aptikę pirmuosius įrenginio pakenkimo pėdsakus, „Facebook“ inžinieriai pradėjo kurti apsaugos metodą, sekmadienį naudodamiesi išeitimi užblokavo spragą serverio infrastruktūros lygmenyje, o pirmadienį pradėjo platinti naujinimą, kuris sutvarkė kliento programinę įrangą. Kol kas neaišku, kiek įrenginių buvo užpulta naudojant pažeidžiamumą. Sekmadienį pranešta tik apie nesėkmingą bandymą NSO grupės technologiją primenančiu metodu sukompromituoti vieno žmogaus teisių aktyvistų išmanųjį telefoną, taip pat bandymą atakuoti žmogaus teisių organizacijos „Amnesty International“ darbuotojo išmanųjį telefoną.
Problema buvo be nereikalingo viešinimo Izraelio bendrovė NSO Group, kuri sugebėjo panaudoti pažeidžiamumą įdiegdama šnipinėjimo programas išmaniuosiuose telefonuose, kad užtikrintų teisėsaugos institucijų vykdomą stebėjimą. NSO teigė, kad labai atidžiai tikrina klientus (dirba tik su teisėsaugos ir žvalgybos agentūromis) ir tiria visus skundus dėl piktnaudžiavimo. Visų pirma, dabar buvo pradėtas bandymas, susijęs su įrašytomis atakomis prieš WhatsApp.
NSO neigia dalyvavusi konkrečiose atakose ir teigia, kad kuria tik žvalgybos agentūroms skirtas technologijas, tačiau nukentėjusi žmogaus teisių aktyvistas teisme ketina įrodyti, kad bendrovė dalijasi atsakomybe su klientais, kurie piktnaudžiauja jiems suteikta programine įranga ir pardavė savo produktus žinomoms tarnyboms. jų žmogaus teisių pažeidimus.
„Facebook“ inicijavo tyrimą dėl galimo įrenginių kompromitavimo ir praėjusią savaitę privačiai pasidalijo pirmaisiais rezultatais su JAV teisingumo departamentu, taip pat pranešė kelioms žmogaus teisių organizacijoms apie problemą, kad jos koordinuotų visuomenės informuotumą (pasaulyje yra apie 1.5 mlrd. „WhatsApp“ įrenginių).
Šaltinis: opennet.ru