ဝေဖန်ထောက်ပြခြင်းဆိုင်ရာ အချက်အလက်
အထူးဒီဇိုင်းထုတ်ထားသော အသံခေါ်ဆိုမှုတစ်ခုပေးပို့ခြင်းဖြင့် သင့်ကုဒ်ကို လုပ်ဆောင်နိုင်စေမည့် WhatsApp မိုဘိုင်းအက်ပ်တွင် (CVE-2019-3568)။ အောင်မြင်သော တိုက်ခိုက်မှုတစ်ခုအတွက်၊ မကောင်းသောခေါ်ဆိုမှုကို တုံ့ပြန်ရန် ခေါ်ဆိုမှုသည် လုံလောက်ပါသည်။ သို့သော်၊ ထိုသို့သောခေါ်ဆိုမှုသည် ခေါ်ဆိုမှုမှတ်တမ်းတွင် မကြာခဏမပေါ်ဘဲ တိုက်ခိုက်မှုကို သုံးစွဲသူက သတိမပြုမိနိုင်ပါ။
အားနည်းချက်သည် Signal protocol နှင့် မသက်ဆိုင်သော်လည်း WhatsApp-specific VoIP stack တွင် ကြားခံပြည့်လျှံနေခြင်းကြောင့် ဖြစ်ပေါ်လာခြင်းဖြစ်သည်။ အထူးဒီဇိုင်းထုတ်ထားသော SRTCP ပက်ကတ်များကို သားကောင်၏စက်ပစ္စည်းသို့ ပေးပို့ခြင်းဖြင့် ပြဿနာကို အသုံးချနိုင်သည်။ အားနည်းချက်သည် Android အတွက် WhatsApp (2.19.134)၊ Android အတွက် WhatsApp Business (2.19.44)၊ iOS အတွက် WhatsApp (2.19.51)၊ iOS အတွက် WhatsApp Business (2.19.51)၊ Windows Phone အတွက် WhatsApp (သို့)၊ 2.18.348) နှင့် Tizen (2.18.15) အတွက် WhatsApp။
စိတ်ဝင်စားစရာကောင်းတာက မနှစ်ကပေါ့။ WhatsApp နှင့် Facetime Project Zero သည် အသုံးပြုသူခေါ်ဆိုမှုကို လက်ခံခြင်းမပြုမီ အဆင့်တွင် အသံခေါ်ဆိုမှုနှင့် ဆက်စပ်နေသည့် ထိန်းချုပ်မက်ဆေ့ချ်များကို ပေးပို့ရန်နှင့် လုပ်ဆောင်နိုင်စေမည့် ချို့ယွင်းချက်ကို အာရုံစိုက်စေသည်။ WhatsApp သည် ဤအင်္ဂါရပ်ကို ဖယ်ရှားရန် အကြံပြုထားပြီး၊ fuzzing test တစ်ခုကို ပြုလုပ်သောအခါ၊ ထိုကဲ့သို့သော မက်ဆေ့ချ်များ ပေးပို့ခြင်းသည် အပလီကေးရှင်း ပျက်ကျခြင်းသို့ ဦးတည်စေကြောင်း ပြသခဲ့သည်။ ကုဒ်တွင် အားနည်းချက်များ ရှိနေကြောင်း မနှစ်ကပင် သိရှိခဲ့သည်။
သောကြာနေ့တွင် စက်ပစ္စည်းအပေးအယူလုပ်ခြင်း၏ ပထမဆုံးခြေရာများကို ရှာဖွေဖော်ထုတ်ပြီးနောက် Facebook မှ အင်ဂျင်နီယာများသည် အကာအကွယ်နည်းလမ်းကို စတင်တီထွင်ခဲ့ပြီး တနင်္ဂနွေနေ့တွင် ၎င်းတို့သည် ဖြေရှင်းနည်းကိုအသုံးပြု၍ ဆာဗာအခြေခံအဆောက်အအုံအဆင့်တွင် ကွက်လပ်ကိုပိတ်ဆို့ခဲ့ပြီး တနင်္လာနေ့တွင် သုံးစွဲသူဆော့ဖ်ဝဲလ်ကို ပြင်ဆင်သည့်အပ်ဒိတ်တစ်ခုကို စတင်ဖြန့်ဝေခဲ့သည်။ အားနည်းချက်ကို အသုံးပြု၍ စက်ပစ္စည်းမည်မျှ တိုက်ခိုက်ခဲ့သည်ကို ရှင်းရှင်းလင်းလင်း မသိရသေးပါ။ NSO အဖွဲ့၏ နည်းပညာကို အမှတ်ရစေသည့် နည်းလမ်းကို အသုံးပြု၍ လူ့အခွင့်အရေး တက်ကြွလှုပ်ရှားသူ တစ်ဦး၏ စမတ်ဖုန်းကို အပေးအယူလုပ်ရန် ကြိုးပမ်းမှု မအောင်မြင်ဘဲ တနင်္လာနေ့တွင်သာ အစီရင်ခံခဲ့ခြင်းဖြစ်ပြီး လူ့အခွင့်အရေး အဖွဲ့အစည်း Amnesty International မှ ဝန်ထမ်းတစ်ဦး၏ စမတ်ဖုန်းကို တိုက်ခိုက်ရန် ကြိုးပမ်းမှုလည်း ဖြစ်သည်။
ပြဿနာက မလိုအပ်ဘဲ လူသိရှင်ကြား ဖြစ်နေတယ်။ အစ္စရေးကုမ္ပဏီ NSO Group သည် တရားဥပဒေစိုးမိုးရေးအေဂျင်စီများမှ စောင့်ကြည့်မှုပေးရန်အတွက် စမတ်ဖုန်းများတွင် spyware တပ်ဆင်ရန် အားနည်းချက်ကို အသုံးပြုခဲ့သည်။ NSO က ၎င်းသည် သုံးစွဲသူများအား ဂရုတစိုက်စစ်ဆေးခြင်း (၎င်းသည် တရားဥပဒေစိုးမိုးရေးနှင့် ထောက်လှမ်းရေးအေဂျင်စီများနှင့်သာ လုပ်ဆောင်သည်) နှင့် အလွဲသုံးစားလုပ်မှုဆိုင်ရာ တိုင်ကြားချက်အားလုံးကို စုံစမ်းစစ်ဆေးနေသည်ဟု NSO မှ ပြောကြားခဲ့သည်။ အထူးသဖြင့်၊ WhatsApp တွင် မှတ်တမ်းတင်ထားသော တိုက်ခိုက်မှုများနှင့် ပတ်သက်သည့် စမ်းသပ်မှုတစ်ခုကို ယခု စတင်လိုက်ပါပြီ။
NSO သည် သီးခြားတိုက်ခိုက်မှုများတွင် ထောက်လှမ်းရေးအေဂျင်စီများအတွက် နည်းပညာဖွံ့ဖြိုးတိုးတက်စေရန်သာ ပါဝင်ပတ်သက်သည်ဟု ငြင်းဆိုထားသော်လည်း လူ့အခွင့်အရေးလှုပ်ရှားသူသည် ကုမ္ပဏီသည် ၎င်းတို့ပေးအပ်ထားသည့်ဆော့ဖ်ဝဲကို အလွဲသုံးစားလုပ်သည့်ဖောက်သည်များနှင့် ၎င်းတို့အား ပေးအပ်ထားသည့် ဆော့ဖ်ဝဲကို အလွဲသုံးစားလုပ်ကာ ၎င်း၏ထုတ်ကုန်များကို နာမည်ကြီးဝန်ဆောင်မှုများသို့ ရောင်းချကြောင်း တရားရုံးတွင် သက်သေပြရန် ရည်ရွယ်ထားသည်။ သူတို့ရဲ့ လူ့အခွင့်အရေး ချိုးဖောက်မှုတွေ၊
Facebook သည် စက်ပစ္စည်းများ၏ ဖြစ်နိုင်ချေရှိသော အပေးအယူဆိုင်ရာ စုံစမ်းစစ်ဆေးမှုကို စတင်ခဲ့ပြီး ပြီးခဲ့သောအပတ်က ပထမဆုံးရလဒ်များကို အမေရိကန်တရားရေးဌာနထံ သီးသန့်မျှဝေခဲ့ပြီး လူသိရှင်ကြားသိရှိစေရန် ပူးပေါင်းဆောင်ရွက်ရန်အတွက် ပြဿနာနှင့်ပတ်သက်၍ လူ့အခွင့်အရေးအဖွဲ့အစည်းများကို အကြောင်းကြားခဲ့သည် (ကမ္ဘာတစ်ဝှမ်းတွင် WhatsApp တပ်ဆင်မှုပေါင်း 1.5 ဘီလီယံခန့်ရှိသည်)။
source: opennet.ru