Шүүмжлэлийн талаархи мэдээлэл
(CVE-2019-3568) WhatsApp гар утасны аппликейшн дээр тусгайлан боловсруулсан дуут дуудлага илгээх замаар кодоо ажиллуулах боломжтой. Амжилттай довтлохын тулд хортой дуудлагад хариу өгөх шаардлагагүй; Гэсэн хэдий ч ийм дуудлага ихэвчлэн дуудлагын бүртгэлд гарч ирдэггүй бөгөөд халдлагыг хэрэглэгч анзаарахгүй байж магадгүй юм.
Энэ эмзэг байдал нь дохионы протоколтой холбоогүй бөгөөд WhatsApp-т зориулсан VoIP стек дэх буфер хэт ихэссэнээс үүдэлтэй. Тусгайлан зохион бүтээсэн SRTCP багцуудыг хохирогчийн төхөөрөмж рүү илгээснээр асуудлыг ашиглаж болно. Энэ эмзэг байдал нь Android-д зориулсан WhatsApp (2.19.134-д зассан), Android-д зориулсан WhatsApp Business (2.19.44-т засварласан), iOS-д зориулсан WhatsApp (2.19.51), iOS-д зориулсан WhatsApp Business (2.19.51), Windows Phone-д зориулсан WhatsApp-д нөлөөлнө. 2.18.348) болон Tizen-д зориулсан WhatsApp (2.18.15).
Сонирхолтой нь өнгөрсөн жил WhatsApp болон Facetime Project Zero нь дуут дуудлагатай холбоотой хяналтын мессежийг хэрэглэгч дуудлагыг хүлээж авахаас өмнөх шатанд илгээж, боловсруулах боломжийг олгодог дутагдалд анхаарлаа хандуулав. WhatsApp-д энэ функцийг устгахыг зөвлөсөн бөгөөд бүдүүлэг тест хийх үед ийм мессеж илгээх нь програмын эвдрэлд хүргэдэг, жишээлбэл. Өнгөрсөн жил ч гэсэн кодонд болзошгүй сул талууд байгаа нь мэдэгдэж байсан.
Баасан гарагт төхөөрөмжийн эвдрэлийн анхны ул мөрийг илрүүлсний дараа Facebook-ийн инженерүүд хамгаалалтын аргыг боловсруулж эхэлсэн бөгөөд Ням гарагт тэд серверийн дэд бүтцийн түвшний цоорхойг тойрч гарах арга замаар хааж, Даваа гарагт үйлчлүүлэгчийн програм хангамжийг зассан шинэчлэлтийг тарааж эхлэв. Энэ эмзэг байдлыг ашиглан хичнээн төхөөрөмж халдлагад өртсөн нь одоогоор тодорхойгүй байна. Зөвхөн NSO группын технологийг санагдуулам аргаар хүний эрхийн төлөө тэмцэгчдийн нэгний ухаалаг утсыг эвдэх оролдлого, мөн Эмнести Интернэшнл хүний эрхийн байгууллагын ажилтны ухаалаг утас руу халдах оролдлого хийсэн ч амжилтгүй болсон гэх мэдээлэл өнгөрсөн ням гарагт гарсан.
Асуудал нь шаардлагагүй сурталчилгаагүй байсан Энэ эмзэг байдлыг ашиглан ухаалаг утсанд тагнуулын програм суулгаж, хууль сахиулах байгууллагууд тандалт хийх боломжтой болсон Израилийн NSO групп. ҮСХ нь үйлчлүүлэгчдийг маш нарийн шалгаж (зөвхөн хууль сахиулах болон тагнуулын байгууллагатай хамтран ажилладаг) болон хүчирхийллийн талаарх бүх гомдлыг шалгадаг гэжээ. Тодруулбал, WhatsApp дээр бүртгэгдсэн халдлагатай холбоотой шүүх хурал эхлээд байна.
ҮСХ тодорхой халдлагад оролцсон гэдгээ үгүйсгэж, зөвхөн тагнуулын байгууллагад технологи хөгжүүлэх зорилготой гэж мэдэгддэг ч хохирогч хүний эрхийн төлөө тэмцэгч компани нь тэдэнд өгсөн программ хангамжийг урвуулан ашигласан үйлчлүүлэгчидтэй хариуцлага тооцдог гэдгийг шүүхээр нотлохыг зорьж байна. тэдний хүний эрхийн зөрчил.
Фэйсбүүк төхөөрөмжүүдийн эвдрэл гэмтлийн талаар мөрдөн байцаалтын ажиллагааг эхлүүлж, өнгөрсөн долоо хоногт анхны үр дүнгээ АНУ-ын Хууль зүйн яамтай хуваалцаж, олон нийтийн ойлголтыг зохицуулах асуудлын талаар хүний эрхийн хэд хэдэн байгууллагад мэдэгджээ (дэлхий даяар 1.5 тэрбум орчим WhatsApp суурилуулалт байдаг).
Эх сурвалж: opennet.ru