Informacje o stanie krytycznym
(CVE-2019-3568) w aplikacji mobilnej WhatsApp, która umożliwia wykonanie Twojego kodu poprzez wysłanie specjalnie zaprojektowanego połączenia głosowego. Do udanego ataku nie jest wymagana odpowiedź na złośliwe wywołanie; Jednak takie połączenie często nie pojawia się w rejestrze połączeń, a atak może pozostać niezauważony przez użytkownika.
Luka nie jest związana z protokołem Signal, ale jest spowodowana przepełnieniem bufora w stosie VoIP specyficznym dla WhatsApp. Problem można wykorzystać, wysyłając specjalnie zaprojektowaną serię pakietów SRTCP do urządzenia ofiary. Luka dotyczy aplikacji WhatsApp na Androida (naprawiona w wersji 2.19.134), WhatsApp Business na Androida (naprawiona w wersji 2.19.44), WhatsApp na iOS (2.19.51), WhatsApp Business na iOS (2.19.51), WhatsApp na Windows Phone ( 2.18.348) i WhatsApp dla Tizen (2.18.15).
Co ciekawe, w zeszłym roku WhatsApp i Facetime Project Zero zwróciły uwagę na lukę, która pozwala na wysyłanie i przetwarzanie komunikatów kontrolnych związanych z połączeniem głosowym na etapie, zanim użytkownik odbierze połączenie. WhatsAppowi zalecono usunięcie tej funkcji i wykazano, że przy przeprowadzaniu testu fuzzingu wysyłanie takich wiadomości prowadzi do awarii aplikacji, czyli tzw. Już w zeszłym roku było wiadomo, że w kodzie znajdują się potencjalne luki.
Po zidentyfikowaniu w piątek pierwszych śladów włamania do urządzenia inżynierowie Facebooka rozpoczęli prace nad metodą ochrony, w niedzielę za pomocą obejścia zablokowali lukę na poziomie infrastruktury serwerów, a w poniedziałek rozpoczęli dystrybucję aktualizacji naprawiającej oprogramowanie klienckie. Nie jest jeszcze jasne, ile urządzeń zostało zaatakowanych przy użyciu tej luki. Jedyne doniesienia to nieudana niedzielna próba włamania się do smartfona jednego z obrońców praw człowieka metodą nawiązującą do technologii NSO Group, a także próba ataku na smartfon pracownika organizacji praw człowieka Amnesty International.
Problem powstał bez niepotrzebnego rozgłosu Izraelska firma NSO Group, której udało się wykorzystać lukę do zainstalowania oprogramowania szpiegującego na smartfonach w celu zapewnienia nadzoru organom ścigania. NSO twierdzi, że bardzo dokładnie sprawdza klientów (współpracuje tylko z organami ścigania i agencjami wywiadowczymi) i bada wszystkie skargi dotyczące nadużyć. W szczególności wszczęto obecnie proces dotyczący zarejestrowanych ataków na WhatsApp.
NSO zaprzecza udziałowi w konkretnych atakach i twierdzi, że ma jedynie rozwijać technologię dla agencji wywiadowczych, ale ofiara działacza na rzecz praw człowieka zamierza udowodnić przed sądem, że firma dzieli się odpowiedzialnością z klientami, którzy nadużywają dostarczonego jej oprogramowania, a swoje produkty sprzedają serwisom znanym z ich łamanie praw człowieka.
Facebook wszczął dochodzenie w sprawie możliwego naruszenia bezpieczeństwa urządzeń i w zeszłym tygodniu prywatnie podzielił się pierwszymi wynikami z Departamentem Sprawiedliwości USA, a także powiadomił o problemie kilka organizacji praw człowieka w celu koordynacji świadomości społecznej (na całym świecie jest około 1.5 miliarda instalacji WhatsApp).
Źródło: opennet.ru