Émbaran ngeunaan kritis
(CVE-2019-3568) dina aplikasi mobile WhatsApp, anu ngamungkinkeun anjeun ngaéksekusi kode anjeun ku ngirim telepon sora anu dirarancang khusus. Pikeun serangan anu suksés, réspon kana telepon jahat henteu diperyogikeun; sauran cekap. Nanging, sauran sapertos kitu sering henteu muncul dina log sauran sareng seranganna tiasa teu ditingali ku pangguna.
Kerentanan henteu aya hubunganana sareng protokol Sinyal, tapi disababkeun ku panyangga overflow dina tumpukan VoIP khusus WhatsApp. Masalahna tiasa dieksploitasi ku ngirim séri pakét SRTCP anu dirarancang khusus ka alat korban. Kerentanan mangaruhan WhatsApp pikeun Android (dibereskeun dina 2.19.134), WhatsApp Business pikeun Android (dibereskeun dina 2.19.44), WhatsApp pikeun ios (2.19.51), WhatsApp Business pikeun ios (2.19.51), WhatsApp pikeun Windows Phone ( 2.18.348) sareng WhatsApp pikeun Tizen (2.18.15).
Narikna, dina taun kamari WhatsApp sareng Facetime Project Zero narik perhatian kana cacad anu ngamungkinkeun pesen kontrol anu aya hubunganana sareng telepon sora dikirim sareng diolah dina panggung sateuacan pangguna nampi telepon. WhatsApp disarankeun pikeun ngahapus fitur ieu sareng ditingalikeun yén nalika ngalaksanakeun tés fuzzing, ngirim pesen sapertos kitu nyababkeun kacilakaan aplikasi, nyaéta. Malahan taun ka tukang dipikanyaho yén aya potensi kerentanan dina kode éta.
Saatos ngaidentipikasi ngambah mimiti kompromi alat dina dinten Jumaah, insinyur Facebook mimiti ngembangkeun metode panyalindungan, dinten Minggu aranjeunna meungpeuk celah di tingkat infrastruktur server nganggo workaround, sareng dina Senén aranjeunna mimiti nyebarkeun pembaruan anu ngalereskeun parangkat lunak klien. Henteu acan écés sabaraha alat anu diserang nganggo kerentanan éta. Ngan hiji usaha gagal dilaporkeun dina Minggu pikeun kompromi smartphone salah sahiji aktivis HAM ngagunakeun métode reminiscent tina téhnologi Grup NSO, kitu ogé usaha narajang smartphone hiji pagawe organisasi HAM Amnesty International.
Masalahna éta tanpa publisitas anu teu perlu Perusahaan Israél NSO Group, anu tiasa nganggo kerentanan pikeun masang spyware dina smartphone pikeun nyayogikeun panjagaan ku agénsi penegak hukum. NSO ceuk eta layar konsumén taliti pisan (éta ngan gawéna kalayan penegak hukum jeung agénsi kecerdasan) jeung investigates sagala keluhan nyiksa. Khususna, percobaan ayeuna parantos digagas anu aya hubunganana sareng serangan anu dirékam dina WhatsApp.
NSO denies involvement dina serangan husus sarta ngaklaim ngan pikeun ngembangkeun téhnologi pikeun agénsi intelijen, tapi korban aktivis HAM intends ngabuktikeun di pangadilan yen parusahaan babagi tanggung jawab jeung klien anu nyiksa software disadiakeun pikeun aranjeunna, sarta dijual produk na ka layanan dipikawanoh pikeun. palanggaran HAM maranéhanana.
Facebook ngamimitian panalungtikan ngeunaan kamungkinan kompromi alat sareng minggu kamari sacara pribadi ngabagi hasil munggaran sareng Departemen Kaadilan AS, sareng ogé ngabéjaan sababaraha organisasi hak asasi manusa ngeunaan masalah pikeun koordinat kasadaran masarakat (aya ngeunaan 1.5 milyar pamasangan WhatsApp di sakuliah dunya).
sumber: opennet.ru