Informatie over kritisch
De kwetsbaarheid heeft geen betrekking op het Signal-protocol, maar wordt veroorzaakt door een bufferoverflow in de WhatsApp-specifieke VoIP-stack. Het probleem kan worden uitgebuit door een speciaal ontworpen reeks SRTCP-pakketten naar het apparaat van het slachtoffer te sturen. De kwetsbaarheid treft WhatsApp voor Android (opgelost in 2.19.134), WhatsApp Business voor Android (opgelost in 2.19.44), WhatsApp voor iOS (2.19.51), WhatsApp Business voor iOS (2.19.51), WhatsApp voor Windows Phone ( 2.18.348) en WhatsApp voor Tizen (2.18.15).
Interessant genoeg vorig jaar
Nadat ze vrijdag de eerste sporen van apparaatcompromis hadden geïdentificeerd, begonnen Facebook-ingenieurs met het ontwikkelen van een beveiligingsmethode, op zondag blokkeerden ze de maas in de serverinfrastructuur met behulp van een tijdelijke oplossing, en op maandag begonnen ze met het distribueren van een update die de clientsoftware repareerde. Het is nog niet duidelijk hoeveel apparaten zijn aangevallen met behulp van de kwetsbaarheid. De enige gerapporteerde berichten waren een mislukte poging zondag om de smartphone van een van de mensenrechtenactivisten in gevaar te brengen met behulp van een methode die doet denken aan de technologie van de NSO Group, evenals een poging om de smartphone van een medewerker van de mensenrechtenorganisatie Amnesty International aan te vallen.
Het probleem was zonder onnodige publiciteit
NSO ontkent betrokkenheid bij specifieke aanvallen en beweert alleen technologie te ontwikkelen voor inlichtingendiensten, maar het slachtoffer van de mensenrechtenactivist wil voor de rechtbank bewijzen dat het bedrijf de verantwoordelijkheid deelt met klanten die de aan hen geleverde software misbruiken en zijn producten verkocht aan diensten die bekend staan om hun mensenrechtenschendingen.
Facebook startte een onderzoek naar de mogelijke compromittering van apparaten en deelde vorige week privé de eerste resultaten met het Amerikaanse ministerie van Justitie, en bracht ook verschillende mensenrechtenorganisaties op de hoogte van het probleem om het publieke bewustzijn te coördineren (er zijn wereldwijd ongeveer 1.5 miljard WhatsApp-installaties).
Bron: opennet.ru