వాట్సాప్ అప్లికేషన్‌లో క్లిష్ట దుర్బలత్వం, మాల్‌వేర్‌ను పరిచయం చేయడానికి తగినది

క్లిష్టమైన గురించి సమాచారం
దుర్బలత్వాలు (CVE-2019-3568) WhatsApp మొబైల్ అప్లికేషన్‌లో, ప్రత్యేకంగా రూపొందించిన వాయిస్ కాల్‌ని పంపడం ద్వారా మీ కోడ్‌ని అమలు చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. విజయవంతమైన దాడికి, హానికరమైన కాల్‌కి ప్రతిస్పందన అవసరం లేదు; అయితే, అటువంటి కాల్ తరచుగా కాల్ లాగ్‌లో కనిపించదు మరియు దాడి వినియోగదారు గుర్తించబడదు.

దుర్బలత్వం సిగ్నల్ ప్రోటోకాల్‌కు సంబంధించినది కాదు, కానీ WhatsApp-నిర్దిష్ట VoIP స్టాక్‌లో బఫర్ ఓవర్‌ఫ్లో కారణంగా ఏర్పడింది. బాధితుడి పరికరానికి ప్రత్యేకంగా రూపొందించిన SRTCP ప్యాకెట్ల శ్రేణిని పంపడం ద్వారా సమస్యను ఉపయోగించుకోవచ్చు. హాని Android కోసం WhatsApp (2.19.134లో పరిష్కరించబడింది), Android కోసం WhatsApp వ్యాపారం (2.19.44లో పరిష్కరించబడింది), iOS కోసం WhatsApp (2.19.51), iOS కోసం WhatsApp వ్యాపారం (2.19.51), Windows Phone కోసం WhatsApp (2.18.348)పై ప్రభావం చూపుతుంది. 2.18.15) మరియు టైజెన్ కోసం WhatsApp (XNUMX).

ఆసక్తికరంగా, గత సంవత్సరంలో అధ్యయనం భద్రతా వాట్సాప్ మరియు ఫేస్‌టైమ్ ప్రాజెక్ట్ జీరో ఒక లోపం దృష్టిని ఆకర్షించాయి, ఇది వాయిస్ కాల్‌తో అనుబంధించబడిన నియంత్రణ సందేశాలను వినియోగదారు కాల్‌ని అంగీకరించే ముందు దశలో పంపడానికి మరియు ప్రాసెస్ చేయడానికి అనుమతిస్తుంది. ఈ ఫీచర్‌ను తీసివేయమని WhatsApp సిఫార్సు చేయబడింది మరియు అస్పష్టమైన పరీక్షను నిర్వహిస్తున్నప్పుడు, అటువంటి సందేశాలను పంపడం అప్లికేషన్ క్రాష్‌లకు దారితీస్తుందని చూపబడింది, అనగా. గత సంవత్సరం కూడా కోడ్‌లో సంభావ్య బలహీనతలు ఉన్నాయని తెలిసింది.

శుక్రవారం పరికరం రాజీ యొక్క మొదటి జాడలను గుర్తించిన తర్వాత, Facebook ఇంజనీర్లు రక్షణ పద్ధతిని అభివృద్ధి చేయడం ప్రారంభించారు, ఆదివారం వారు సర్వర్ ఇన్‌ఫ్రాస్ట్రక్చర్ స్థాయిలో లొసుగును ఒక ప్రత్యామ్నాయాన్ని ఉపయోగించి నిరోధించారు మరియు సోమవారం వారు క్లయింట్ సాఫ్ట్‌వేర్‌ను పరిష్కరించే నవీకరణను పంపిణీ చేయడం ప్రారంభించారు. దుర్బలత్వాన్ని ఉపయోగించి ఎన్ని పరికరాలపై దాడి చేశారో ఇంకా స్పష్టంగా తెలియలేదు. NSO గ్రూప్ టెక్నాలజీని గుర్తుకు తెచ్చే పద్ధతిని ఉపయోగించి మానవ హక్కుల కార్యకర్తలలో ఒకరి స్మార్ట్‌ఫోన్‌ను రాజీ చేయడానికి, అలాగే మానవ హక్కుల సంస్థ అమ్నెస్టీ ఇంటర్నేషనల్ ఉద్యోగి యొక్క స్మార్ట్‌ఫోన్‌పై దాడి చేయడానికి ప్రయత్నించిన విఫల ప్రయత్నం మాత్రమే ఆదివారం నివేదించబడింది.

అనవసర ప్రచారం లేకుండానే సమస్య వచ్చింది గుర్తించారు ఇజ్రాయెల్ కంపెనీ NSO గ్రూప్, ఇది స్పైవేర్‌ను స్మార్ట్‌ఫోన్‌లలో ఇన్‌స్టాల్ చేసే దుర్బలత్వాన్ని ఉపయోగించుకోగలిగింది. NSO కస్టమర్‌లను చాలా జాగ్రత్తగా పరిశీలిస్తుందని (ఇది చట్ట అమలు మరియు గూఢచార సంస్థలతో మాత్రమే పని చేస్తుంది) మరియు దుర్వినియోగానికి సంబంధించిన అన్ని ఫిర్యాదులను పరిశోధిస్తుంది. ముఖ్యంగా, వాట్సాప్‌లో రికార్డ్ చేయబడిన దాడులకు సంబంధించి ఇప్పుడు విచారణ ప్రారంభించబడింది.

NSO నిర్దిష్ట దాడులలో ప్రమేయాన్ని నిరాకరిస్తుంది మరియు గూఢచార సంస్థలకు సాంకేతిక పరిజ్ఞానాన్ని అభివృద్ధి చేయడానికి మాత్రమే క్లెయిమ్ చేస్తుంది, అయితే బాధిత మానవ హక్కుల కార్యకర్త కోర్టులో తమకు అందించిన సాఫ్ట్‌వేర్‌ను దుర్వినియోగం చేసే ఖాతాదారులతో బాధ్యతను పంచుకుంటారని మరియు దాని ఉత్పత్తులను తెలిసిన సేవలకు విక్రయించాలని కోరుతున్నారు. వారి మానవ హక్కుల ఉల్లంఘన.

Facebook పరికరాల రాజీపై దర్యాప్తు ప్రారంభించింది మరియు గత వారం US డిపార్ట్‌మెంట్ ఆఫ్ జస్టిస్‌తో ప్రైవేట్‌గా మొదటి ఫలితాలను పంచుకుంది మరియు ప్రజల అవగాహనను సమన్వయం చేయడానికి సమస్య గురించి అనేక మానవ హక్కుల సంస్థలకు తెలియజేసింది (ప్రపంచవ్యాప్తంగా సుమారు 1.5 బిలియన్ WhatsApp ఇన్‌స్టాలేషన్‌లు ఉన్నాయి).

మూలం: opennet.ru