نازڪ بابت ڄاڻ
(CVE-2019-3568) WhatsApp موبائل ايپليڪيشن ۾، جيڪا توهان کي اجازت ڏئي ٿي ته توهان جو ڪوڊ ايگزيڪيوٽو ڪري هڪ خاص طور تي ٺهيل وائس ڪال موڪلڻ سان. هڪ ڪامياب حملي لاء، هڪ بدسلوڪي ڪال جو جواب گهربل ناهي؛ هڪ ڪال ڪافي آهي. بهرحال، اهڙي ڪال اڪثر ڪري ڪال لاگ ۾ ظاهر نه ٿيندي آهي ۽ حملو صارف طرفان اڻڄاتل ٿي سگهي ٿو.
ڪمزوري سگنل پروٽوڪول سان لاڳاپيل ناهي، پر WhatsApp-مخصوص VoIP اسٽيڪ ۾ بفر اوور فلو جي ڪري آهي. مسئلي جو استحصال ڪري سگھجي ٿو خاص طور تي تيار ڪيل SRTCP پيڪٽن جي سيريز کي قرباني جي ڊوائيس تي موڪلڻ سان. اهو خطرو WhatsApp لاءِ Android (2.19.134 ۾ طئي ٿيل)، Android لاءِ WhatsApp Business (2.19.44 ۾ مقرر)، WhatsApp لاءِ iOS (2.19.51)، WhatsApp Business for iOS (2.19.51)، WhatsApp for Windows Phone ( 2.18.348) ۽ WhatsApp لاءِ Tizen (2.18.15).
دلچسپ ڳالهه اها آهي ته گذريل سال ۾ WhatsApp ۽ Facetime پروجيڪٽ زيرو هڪ نقص ڏانهن ڌيان ڇڪايو جيڪو وائس ڪال سان لاڳاپيل ڪنٽرول پيغامن کي موڪلڻ ۽ پروسيس ڪرڻ جي اجازت ڏئي ٿو اسٽيج تي ان کان اڳ جو صارف ڪال قبول ڪري. واٽس اپ کي هن فيچر کي هٽائڻ جي صلاح ڏني وئي هئي ۽ اهو ڏيکاريو ويو هو ته جڏهن فزنگ ٽيسٽ ڪندي، اهڙا پيغام موڪلڻ سان ايپليڪيشن حادثن جو سبب بڻجي ٿي، يعني. جيتوڻيڪ گذريل سال اهو معلوم ٿيو هو ته ڪوڊ ۾ امڪاني خطرات موجود هئا.
جمعه تي ڊيوائس سمجھوتي جي پهرين نشانين جي نشاندهي ڪرڻ کان پوءِ، فيس بڪ انجنيئرن هڪ تحفظ جو طريقو تيار ڪرڻ شروع ڪيو، آچر تي انهن سرور جي انفراسٽرڪچر جي سطح تي ڪم ڪار استعمال ڪندي خامين کي بلاڪ ڪيو، ۽ سومر تي انهن هڪ اپڊيٽ ورهائڻ شروع ڪئي جيڪا ڪلائنٽ سافٽ ويئر کي درست ڪري ٿي. اهو اڃا تائين واضح ناهي ته ڪيترين ڊوائيسز تي حملو ڪيو ويو نقصانڪار استعمال ڪندي. صرف هڪ ناڪام ڪوشش آچر تي ٻڌايو ويو ته انساني حقن جي ڪارڪنن مان هڪ جي اسمارٽ فون کي سمجھوتو ڪرڻ جو طريقو استعمال ڪندي NSO گروپ ٽيڪنالاجي جي ياد ڏياريندڙ، انهي سان گڏ انساني حقن جي تنظيم ايمنسٽي انٽرنيشنل جي هڪ ملازم جي اسمارٽ فون تي حملو ڪرڻ جي ڪوشش.
مسئلو غير ضروري اشاعت کان سواء هو اسرائيلي ڪمپني اين ايس او گروپ، جيڪا قانون لاڳو ڪندڙ ادارن پاران نگراني مهيا ڪرڻ لاء اسمارٽ فونز تي اسپائي ويئر نصب ڪرڻ لاء خطرات کي استعمال ڪرڻ جي قابل هئي. NSO چيو ته اهو گراهڪن کي تمام احتياط سان اسڪرين ڪري ٿو (اهو صرف قانون لاڳو ڪندڙ ادارن ۽ انٽيليجنس ايجنسين سان ڪم ڪري ٿو) ۽ غلط استعمال جي سڀني شڪايتن جي تحقيقات ڪري ٿو. خاص طور تي، هاڻي هڪ آزمائش شروع ڪئي وئي آهي WhatsApp تي رڪارڊ ٿيل حملن سان لاڳاپيل.
اين ايس او مخصوص حملن ۾ ملوث ٿيڻ کان انڪار ڪري ٿو ۽ دعويٰ ڪري ٿو ته هو صرف انٽيليجنس ايجنسين لاءِ ٽيڪنالاجي تيار ڪن، پر انساني حقن جو شڪار ٿيل ڪارڪن عدالت ۾ ثابت ڪرڻ جو ارادو رکي ٿو ته ڪمپني انهن گراهڪن سان ذميواريون شيئر ڪري ٿي جيڪي انهن کي فراهم ڪيل سافٽ ويئر جو غلط استعمال ڪن ٿا، ۽ پنهنجون پروڊڪٽس انهن خدمتن کي وڪرو ڪن ٿا جن لاءِ مشهور آهي. انهن جي انساني حقن جي ڀڃڪڙي.
فيس بڪ ڊوائيسز جي ممڪن سمجھوتي جي تحقيقات شروع ڪئي ۽ گذريل هفتي نجي طور تي پهريون نتيجا يو ايس ڊپارٽمينٽ آف انصاف سان شيئر ڪيا، ۽ ڪيترن ئي انساني حقن جي تنظيمن کي پڻ اطلاع ڏنو ته مسئلي بابت عوامي آگاهي کي همٿائڻ لاءِ (دنيا ۾ اٽڪل 1.5 بلين WhatsApp تنصيب آهن).
جو ذريعو: opennet.ru