Informasjon om kritiske
(CVE-2019-3568) i WhatsApp-mobilapplikasjonen, som lar deg utføre koden din ved å sende en spesialdesignet taleanrop. For et vellykket angrep er det ikke nødvendig å svare på et ondsinnet anrop. Et slikt anrop vises imidlertid ofte ikke i anropsloggen, og angrepet kan gå ubemerket av brukeren.
Sårbarheten er ikke relatert til signalprotokollen, men er forårsaket av bufferoverløp i den WhatsApp-spesifikke VoIP-stakken. Problemet kan utnyttes ved å sende en spesialdesignet serie med SRTCP-pakker til offerets enhet. Sårbarheten påvirker WhatsApp for Android (rettet i 2.19.134), WhatsApp Business for Android (rettet i 2.19.44), WhatsApp for iOS (2.19.51), WhatsApp Business for iOS (2.19.51), WhatsApp for Windows Phone ( 2.18.348) og WhatsApp for Tizen (2.18.15).
Interessant nok i fjorårets WhatsApp og Facetime Project Zero trakk oppmerksomhet til en feil som gjør at kontrollmeldinger knyttet til en taleanrop kan sendes og behandles på stadiet før brukeren aksepterer anropet. WhatsApp ble anbefalt å fjerne denne funksjonen, og det ble vist at når du utfører en fuzzing-test, fører sending av slike meldinger til programkrasj, dvs. Selv i fjor var det kjent at det var potensielle sårbarheter i koden.
Etter å ha identifisert de første sporene av enhetskompromiss på fredag, begynte Facebook-ingeniører å utvikle en beskyttelsesmetode, søndag blokkerte de smutthullet på serverinfrastrukturnivå ved å bruke en løsning, og mandag begynte de å distribuere en oppdatering som fikset klientprogramvaren. Det er ennå ikke klart hvor mange enheter som ble angrepet med sikkerhetsproblemet. De eneste rapportene som ble rapportert var et mislykket forsøk på søndag å kompromittere smarttelefonen til en av menneskerettighetsaktivistene ved å bruke en metode som minner om NSO Group-teknologien, samt et forsøk på å angripe smarttelefonen til en ansatt i menneskerettighetsorganisasjonen Amnesty International.
Problemet var uten unødvendig publisitet Det israelske selskapet NSO Group, som var i stand til å bruke sårbarheten til å installere spyware på smarttelefoner for å gi overvåking av rettshåndhevelsesbyråer. NSO sa at de undersøker kunder veldig nøye (det fungerer bare med rettshåndhevelse og etterretningsbyråer) og undersøker alle klager på misbruk. Spesielt er det nå igangsatt en rettssak knyttet til registrerte angrep på WhatsApp.
NSO avviser involvering i spesifikke angrep og hevder kun å utvikle teknologi for etterretningsbyråer, men offerets menneskerettighetsaktivist har til hensikt å bevise i retten at selskapet deler ansvaret med klienter som misbruker programvaren som ble levert til dem, og solgte produktene sine til tjenester kjent for deres menneskerettighetsbrudd.
Facebook satte i gang en etterforskning av mulig kompromittering av enheter og delte i forrige uke privat de første resultatene med det amerikanske justisdepartementet, og varslet også flere menneskerettighetsorganisasjoner om problemet for å koordinere offentlig bevissthet (det er omtrent 1.5 milliarder WhatsApp-installasjoner over hele verden).
Kilde: opennet.ru