Informații despre critice
(CVE-2019-3568) în aplicația mobilă WhatsApp, care vă permite să executați codul prin trimiterea unui apel vocal special conceput. Pentru un atac de succes, un răspuns la un apel rău intenționat nu este necesar; un apel este suficient. Cu toate acestea, un astfel de apel adesea nu apare în jurnalul de apeluri și atacul poate trece neobservat de utilizator.
Vulnerabilitatea nu este legată de protocolul Signal, ci este cauzată de o depășire a tamponului în stiva VoIP specifică WhatsApp. Problema poate fi exploatată prin trimiterea unei serii special concepute de pachete SRTCP către dispozitivul victimei. Vulnerabilitatea afectează WhatsApp pentru Android (remediat în 2.19.134), WhatsApp Business pentru Android (remediat în 2.19.44), WhatsApp pentru iOS (2.19.51), WhatsApp Business pentru iOS (2.19.51), WhatsApp pentru Windows Phone ( 2.18.348) și WhatsApp pentru Tizen (2.18.15).
Interesant, în anul trecut WhatsApp și Facetime Project Zero au atras atenția asupra unui defect care permite ca mesajele de control asociate unui apel vocal să fie trimise și procesate în etapa înainte ca utilizatorul să accepte apelul. WhatsApp i s-a recomandat să elimine această caracteristică și s-a demonstrat că atunci când se efectuează un test fuzzing, trimiterea unor astfel de mesaje duce la blocarea aplicației, adică. Chiar și anul trecut se știa că există potențiale vulnerabilități în cod.
După ce vineri au identificat primele urme de compromis al dispozitivului, inginerii Facebook au început să dezvolte o metodă de protecție, duminică au blocat lacuna la nivelul infrastructurii serverului folosind o soluție, iar luni au început să distribuie o actualizare care a remediat software-ul client. Nu este încă clar câte dispozitive au fost atacate folosind vulnerabilitatea. Doar o încercare nereușită a fost raportată duminică de a compromite smartphone-ul unuia dintre activiștii pentru drepturile omului folosind o metodă care amintește de tehnologia NSO Group, precum și o încercare de a ataca smartphone-ul unui angajat al organizației pentru drepturile omului Amnesty International.
Problema a fost fără publicitate inutilă Compania israeliană NSO Group, care a putut folosi vulnerabilitatea pentru a instala programe spion pe smartphone-uri pentru a asigura supravegherea de către agențiile de aplicare a legii. NSO a spus că verifică cu mare atenție clienții (funcționează doar cu agențiile de aplicare a legii și de informații) și investighează toate plângerile de abuz. În special, acum a fost inițiată un proces legat de atacurile înregistrate pe WhatsApp.
NSO neagă implicarea în anumite atacuri și pretinde doar că dezvoltă tehnologie pentru agențiile de informații, dar activistul pentru drepturile omului victimă intenționează să demonstreze în instanță că compania împărtășește responsabilitatea cu clienții care abuzează de software-ul care le-a fost furnizat și și-au vândut produsele unor servicii cunoscute pentru încălcările drepturilor omului.
Facebook a inițiat o investigație cu privire la posibila compromitere a dispozitivelor și săptămâna trecută a împărtășit în privat primele rezultate cu Departamentul de Justiție al SUA și, de asemenea, a sesizat mai multe organizații pentru drepturile omului despre această problemă pentru a coordona conștientizarea publicului (există aproximativ 1.5 miliarde de instalații WhatsApp în întreaga lume).
Sursa: opennet.ru