Informácie o kritických
(CVE-2019-3568) v mobilnej aplikácii WhatsApp, ktorá vám umožňuje spustiť váš kód odoslaním špeciálne navrhnutého hlasového hovoru. Pre úspešný útok nie je potrebná odpoveď na škodlivé volanie, stačí volanie. Takýto hovor sa však často neobjaví v protokole hovorov a útok môže pre používateľa zostať nepovšimnutý.
Zraniteľnosť nesúvisí s protokolom Signal, ale je spôsobená pretečením vyrovnávacej pamäte v zásobníku VoIP špecifickom pre WhatsApp. Problém je možné využiť odoslaním špeciálne navrhnutej série paketov SRTCP do zariadenia obete. Chyba sa týka aplikácií WhatsApp pre Android (opravená v 2.19.134), WhatsApp Business pre Android (opravená v 2.19.44), WhatsApp pre iOS (2.19.51), WhatsApp Business pre iOS (2.19.51), WhatsApp pre Windows Phone ( 2.18.348) a WhatsApp pre Tizen (2.18.15).
Zaujímavé je, že v minulom roku WhatsApp a Facetime Project Zero upozornili na chybu, ktorá umožňuje odosielať a spracovávať riadiace správy spojené s hlasovým hovorom vo fáze predtým, ako používateľ hovor prijme. WhatsApp bolo odporúčané túto funkciu odstrániť a ukázalo sa, že pri vykonávaní fuzzing testu vedie odosielanie takýchto správ k zlyhaniu aplikácie, t.j. Už minulý rok bolo známe, že v kóde sú potenciálne zraniteľné miesta.
Po identifikácii prvých stôp po ohrození zariadenia v piatok začali inžinieri Facebooku vyvíjať metódu ochrany, v nedeľu zablokovali medzeru na úrovni serverovej infraštruktúry pomocou riešenia a v pondelok začali distribuovať aktualizáciu, ktorá opravila klientsky softvér. Zatiaľ nie je jasné, koľko zariadení bolo napadnutých pomocou tejto zraniteľnosti. V nedeľu bol hlásený iba neúspešný pokus o kompromitáciu smartfónu jedného z ľudskoprávnych aktivistov metódou pripomínajúcou technológiu NSO Group, ako aj pokus o napadnutie smartfónu zamestnanca ľudskoprávnej organizácie Amnesty International.
Problém bol bez zbytočnej publicity Izraelská spoločnosť NSO Group, ktorá dokázala využiť túto zraniteľnosť na inštaláciu spywaru do smartfónov na zabezpečenie dohľadu orgánmi činnými v trestnom konaní. NSO uviedol, že zákazníkov veľmi pozorne preveruje (spolupracuje len s orgánmi činnými v trestnom konaní a spravodajskými agentúrami) a vyšetruje všetky sťažnosti na zneužívanie. Konkrétne sa teraz začalo súdne konanie súvisiace so zaznamenanými útokmi na WhatsApp.
NSO popiera, že by sa podieľal na konkrétnych útokoch a tvrdí, že ide len o vývoj technológie pre spravodajské agentúry, ale obeť aktivista za ľudské práva má v úmysle dokázať na súde, že spoločnosť zdieľa zodpovednosť s klientmi, ktorí zneužívajú softvér, ktorý im bol poskytnutý, a svoje produkty predávali službám známym ich porušovanie ľudských práv.
Facebook inicioval vyšetrovanie možného kompromitovania zariadení a minulý týždeň súkromne zdieľal prvé výsledky s americkým ministerstvom spravodlivosti a o probléme informoval aj niekoľko ľudskoprávnych organizácií, aby koordinovali povedomie verejnosti (na celom svete je asi 1.5 miliardy inštalácií WhatsApp).
Zdroj: opennet.ru