Maklumat tentang kritikal
(CVE-2019-3568) dalam aplikasi mudah alih WhatsApp, yang membolehkan anda melaksanakan kod anda dengan menghantar panggilan suara yang direka khas. Untuk serangan yang berjaya, tindak balas kepada panggilan berniat jahat tidak diperlukan; panggilan adalah mencukupi. Walau bagaimanapun, panggilan sedemikian sering tidak muncul dalam log panggilan dan serangan itu mungkin tidak disedari oleh pengguna.
Kerentanan tidak berkaitan dengan protokol Isyarat, tetapi disebabkan oleh limpahan penimbal dalam tindanan VoIP khusus WhatsApp. Masalahnya boleh dieksploitasi dengan menghantar siri paket SRTCP yang direka khas ke peranti mangsa. Kerentanan menjejaskan WhatsApp untuk Android (ditetapkan dalam 2.19.134), WhatsApp Business untuk Android (ditetapkan dalam 2.19.44), WhatsApp untuk iOS (2.19.51), WhatsApp Business untuk iOS (2.19.51), WhatsApp untuk Windows Phone ( 2.18.348) dan WhatsApp untuk Tizen (2.18.15).
Menariknya, pada tahun lepas WhatsApp dan Facetime Project Zero menarik perhatian kepada kecacatan yang membolehkan mesej kawalan yang dikaitkan dengan panggilan suara dihantar dan diproses di peringkat sebelum pengguna menerima panggilan. WhatsApp disyorkan untuk mengalih keluar ciri ini dan telah ditunjukkan bahawa semasa menjalankan ujian kabur, menghantar mesej sedemikian membawa kepada ranap aplikasi, i.e. Malah pada tahun lepas diketahui bahawa terdapat potensi kelemahan dalam kod tersebut.
Selepas mengenal pasti kesan pertama kompromi peranti pada hari Jumaat, jurutera Facebook mula membangunkan kaedah perlindungan, pada hari Ahad mereka menyekat celah di peringkat infrastruktur pelayan menggunakan penyelesaian, dan pada hari Isnin mereka mula mengedarkan kemas kini yang membetulkan perisian klien. Masih belum jelas berapa banyak peranti yang diserang menggunakan kelemahan itu. Satu-satunya laporan yang dilaporkan adalah percubaan yang tidak berjaya pada hari Ahad untuk menjejaskan telefon pintar salah seorang aktivis hak asasi manusia menggunakan kaedah yang mengingatkan teknologi Kumpulan NSO, serta percubaan untuk menyerang telefon pintar seorang pekerja organisasi hak asasi manusia Amnesty International.
Masalahnya adalah tanpa publisiti yang tidak perlu Syarikat Israel NSO Group, yang dapat menggunakan kelemahan untuk memasang perisian pengintip pada telefon pintar untuk menyediakan pengawasan oleh agensi penguatkuasaan undang-undang. NSO berkata ia menyaring pelanggan dengan berhati-hati (ia hanya berfungsi dengan penguatkuasa undang-undang dan agensi perisikan) dan menyiasat semua aduan penyalahgunaan. Khususnya, percubaan kini telah dimulakan berkaitan dengan serangan yang dirakam pada WhatsApp.
NSO menafikan penglibatan dalam serangan khusus dan mendakwa hanya untuk membangunkan teknologi untuk agensi perisikan, tetapi aktivis hak asasi manusia mangsa berhasrat untuk membuktikan di mahkamah bahawa syarikat itu berkongsi tanggungjawab dengan pelanggan yang menyalahgunakan perisian yang diberikan kepada mereka, dan menjual produknya kepada perkhidmatan yang diketahui pelanggaran hak asasi manusia mereka.
Facebook memulakan penyiasatan ke atas kemungkinan kompromi peranti dan minggu lepas secara peribadi berkongsi keputusan pertama dengan Jabatan Kehakiman AS, dan juga memberitahu beberapa organisasi hak asasi manusia tentang masalah itu untuk menyelaraskan kesedaran awam (terdapat kira-kira 1.5 bilion pemasangan WhatsApp di seluruh dunia).
Sumber: opennet.ru