Informações sobre críticas
(CVE-2019-3568) no aplicativo móvel WhatsApp, que permite executar seu código enviando uma chamada de voz especialmente projetada. Para um ataque bem-sucedido, não é necessária uma resposta a uma chamada maliciosa; uma chamada é suficiente. No entanto, muitas vezes tal chamada não aparece no registro de chamadas e o ataque pode passar despercebido pelo usuário.
A vulnerabilidade não está relacionada ao protocolo Signal, mas é causada por um buffer overflow na pilha VoIP específica do WhatsApp. O problema pode ser explorado enviando uma série de pacotes SRTCP especialmente projetados para o dispositivo da vítima. A vulnerabilidade afeta WhatsApp para Android (corrigido em 2.19.134), WhatsApp Business para Android (corrigido em 2.19.44), WhatsApp para iOS (2.19.51), WhatsApp Business para iOS (2.19.51), WhatsApp para Windows Phone ( 2.18.348) e WhatsApp para Tizen (2.18.15).
Curiosamente, no ano passado O WhatsApp e o Facetime Project Zero chamaram a atenção para uma falha que permite que mensagens de controle associadas a uma chamada de voz sejam enviadas e processadas na fase anterior ao usuário aceitar a chamada. O WhatsApp foi recomendado para remover esse recurso e foi demonstrado que ao realizar um teste de fuzzing, o envio de tais mensagens leva a travamentos do aplicativo, ou seja, Ainda no ano passado, sabia-se que havia vulnerabilidades potenciais no código.
Depois de identificar os primeiros vestígios de comprometimento do dispositivo na sexta-feira, os engenheiros do Facebook começaram a desenvolver um método de proteção, no domingo bloquearam a brecha no nível da infraestrutura do servidor usando uma solução alternativa e na segunda-feira começaram a distribuir uma atualização que corrigiu o software cliente. Ainda não está claro quantos dispositivos foram atacados usando a vulnerabilidade. Apenas uma tentativa frustrada foi relatada no domingo de comprometer o smartphone de um dos ativistas de direitos humanos usando um método que lembra a tecnologia do Grupo NSO, bem como uma tentativa de atacar o smartphone de um funcionário da organização de direitos humanos Amnistia Internacional.
O problema era sem publicidade desnecessária A empresa israelense NSO Group, que conseguiu usar a vulnerabilidade para instalar spyware em smartphones para fornecer vigilância por parte das agências de aplicação da lei. A NSO disse que examina os clientes com muito cuidado (trabalha apenas com agências de aplicação da lei e de inteligência) e investiga todas as reclamações de abuso. Em particular, foi agora iniciado um julgamento relacionado com ataques registados ao WhatsApp.
A NSO nega envolvimento em ataques específicos e afirma apenas desenvolver tecnologia para agências de inteligência, mas a vítima, ativista de direitos humanos, pretende provar em tribunal que a empresa partilha responsabilidade com clientes que abusam do software que lhes é fornecido e vendem os seus produtos a serviços conhecidos por suas violações dos direitos humanos.
O Facebook iniciou uma investigação sobre o possível comprometimento de dispositivos e na semana passada compartilhou de forma privada os primeiros resultados com o Departamento de Justiça dos EUA, e também notificou várias organizações de direitos humanos sobre o problema para coordenar a conscientização pública (há cerca de 1.5 bilhão de instalações do WhatsApp em todo o mundo).
Fonte: opennet.ru