Informatie over kritisch
(CVE-2019-3568) in de mobiele WhatsApp-applicatie, waarmee u uw code kunt uitvoeren door een speciaal ontworpen spraakoproep te verzenden. Voor een succesvolle aanval is een reactie op een kwaadwillige oproep niet nodig; een oproep is voldoende. Een dergelijke oproep verschijnt echter vaak niet in het oproeplogboek en de aanval kan voor de gebruiker onopgemerkt blijven.
De kwetsbaarheid heeft geen betrekking op het Signal-protocol, maar wordt veroorzaakt door een bufferoverflow in de WhatsApp-specifieke VoIP-stack. Het probleem kan worden uitgebuit door een speciaal ontworpen reeks SRTCP-pakketten naar het apparaat van het slachtoffer te sturen. De kwetsbaarheid treft WhatsApp voor Android (opgelost in 2.19.134), WhatsApp Business voor Android (opgelost in 2.19.44), WhatsApp voor iOS (2.19.51), WhatsApp Business voor iOS (2.19.51), WhatsApp voor Windows Phone ( 2.18.348) en WhatsApp voor Tizen (2.18.15).
Interessant genoeg vorig jaar WhatsApp en Facetime Project Zero vestigden de aandacht op een fout waardoor controleberichten die verband houden met een spraakoproep kunnen worden verzonden en verwerkt in de fase voordat de gebruiker de oproep accepteert. WhatsApp werd aanbevolen deze functie te verwijderen en er werd aangetoond dat het verzenden van dergelijke berichten bij het uitvoeren van een fuzzing-test leidt tot applicatie-crashes, d.w.z. Vorig jaar was al bekend dat er potentiële kwetsbaarheden in de code zaten.
Nadat ze vrijdag de eerste sporen van apparaatcompromis hadden geïdentificeerd, begonnen Facebook-ingenieurs met het ontwikkelen van een beveiligingsmethode, op zondag blokkeerden ze de maas in de serverinfrastructuur met behulp van een tijdelijke oplossing, en op maandag begonnen ze met het distribueren van een update die de clientsoftware repareerde. Het is nog niet duidelijk hoeveel apparaten zijn aangevallen met behulp van de kwetsbaarheid. De enige gerapporteerde berichten waren een mislukte poging zondag om de smartphone van een van de mensenrechtenactivisten in gevaar te brengen met behulp van een methode die doet denken aan de technologie van de NSO Group, evenals een poging om de smartphone van een medewerker van de mensenrechtenorganisatie Amnesty International aan te vallen.
Het probleem was zonder onnodige publiciteit Het Israëlische bedrijf NSO Group, dat de kwetsbaarheid kon gebruiken om spyware op smartphones te installeren om toezicht te houden door wetshandhavingsinstanties. NSO zegt klanten zeer zorgvuldig te screenen (het werkt alleen samen met wetshandhavings- en inlichtingendiensten) en alle klachten over misbruik te onderzoeken. Er is nu met name een proces gestart met betrekking tot geregistreerde aanvallen op WhatsApp.
NSO ontkent betrokkenheid bij specifieke aanvallen en beweert alleen technologie te ontwikkelen voor inlichtingendiensten, maar het slachtoffer van de mensenrechtenactivist wil voor de rechtbank bewijzen dat het bedrijf de verantwoordelijkheid deelt met klanten die de aan hen geleverde software misbruiken en zijn producten verkocht aan diensten die bekend staan om hun mensenrechtenschendingen.
Facebook startte een onderzoek naar de mogelijke compromittering van apparaten en deelde vorige week privé de eerste resultaten met het Amerikaanse ministerie van Justitie, en bracht ook verschillende mensenrechtenorganisaties op de hoogte van het probleem om het publieke bewustzijn te coördineren (er zijn wereldwijd ongeveer 1.5 miljard WhatsApp-installaties).
Bron: opennet.ru