Impormasyon tungkol sa kritikal
(CVE-2019-3568) sa WhatsApp mobile application, na nagbibigay-daan sa iyong isagawa ang iyong code sa pamamagitan ng pagpapadala ng espesyal na idinisenyong voice call. Para sa matagumpay na pag-atake, hindi kinakailangan ang pagtugon sa isang malisyosong tawag; sapat na ang isang tawag. Gayunpaman, ang gayong tawag ay madalas na hindi lumalabas sa log ng tawag at ang pag-atake ay maaaring hindi napapansin ng gumagamit.
Ang kahinaan ay hindi nauugnay sa Signal protocol, ngunit dulot ng buffer overflow sa WhatsApp-specific VoIP stack. Maaaring samantalahin ang problema sa pamamagitan ng pagpapadala ng espesyal na idinisenyong serye ng mga SRTCP packet sa device ng biktima. Ang kahinaan ay nakakaapekto sa WhatsApp para sa Android (naayos sa 2.19.134), WhatsApp Business para sa Android (naayos sa 2.19.44), WhatsApp para sa iOS (2.19.51), WhatsApp Business para sa iOS (2.19.51), WhatsApp para sa Windows Phone ( 2.18.348) at WhatsApp para sa Tizen (2.18.15).
Kapansin-pansin, noong nakaraang taon Ang WhatsApp at Facetime Project Zero ay nagbigay-pansin sa isang depekto na nagpapahintulot sa mga control message na nauugnay sa isang voice call na maipadala at maproseso sa yugto bago tanggapin ng user ang tawag. Inirerekomenda ng WhatsApp na alisin ang feature na ito at ipinakita na kapag nagsasagawa ng fuzzing test, ang pagpapadala ng mga naturang mensahe ay humahantong sa mga pag-crash ng application, i.e. Kahit noong nakaraang taon ay nalaman na may mga potensyal na kahinaan sa code.
Matapos matukoy ang mga unang bakas ng kompromiso ng device noong Biyernes, nagsimula ang mga inhinyero ng Facebook na bumuo ng paraan ng proteksyon, noong Linggo ay hinarangan nila ang butas sa antas ng imprastraktura ng server gamit ang isang workaround, at noong Lunes ay nagsimula silang mamahagi ng update na nag-aayos ng software ng kliyente. Hindi pa malinaw kung ilang device ang inatake gamit ang vulnerability. Isang hindi matagumpay na pagtatangka lamang ang iniulat noong Linggo upang ikompromiso ang smartphone ng isa sa mga aktibistang karapatang pantao gamit ang isang paraan na nakapagpapaalaala sa teknolohiya ng NSO Group, pati na rin ang pagtatangkang atakehin ang smartphone ng isang empleyado ng organisasyon ng karapatang pantao na Amnesty International.
Ang problema ay walang hindi kinakailangang publisidad Israeli company NSO Group, na nagawang gamitin ang vulnerability para mag-install ng spyware sa mga smartphone para magbigay ng surveillance ng mga ahensyang nagpapatupad ng batas. Sinabi ng NSO na maingat nitong sinusuri ang mga customer (ito ay gumagana lamang sa mga nagpapatupad ng batas at mga ahensya ng paniktik) at iniimbestigahan ang lahat ng mga reklamo ng pang-aabuso. Sa partikular, sinimulan na ngayon ang isang pagsubok na may kaugnayan sa mga naitalang pag-atake sa WhatsApp.
Itinatanggi ng NSO ang paglahok sa mga partikular na pag-atake at inaangkin lamang na bumuo ng teknolohiya para sa mga ahensya ng paniktik, ngunit ang biktima ng human rights activist ay nagnanais na patunayan sa korte na ang kumpanya ay may pananagutan sa mga kliyente na umaabuso sa software na ibinigay sa kanila, at nagbebenta ng mga produkto nito sa mga serbisyong kilala para sa kanilang mga paglabag sa karapatang pantao.
Sinimulan ng Facebook ang pagsisiyasat sa posibleng kompromiso ng mga device at noong nakaraang linggo ay pribadong ibinahagi ang mga unang resulta sa US Department of Justice, at inabisuhan din ang ilang organisasyon ng karapatang pantao tungkol sa problema upang i-coordinate ang pampublikong kamalayan (mayroong humigit-kumulang 1.5 bilyong pag-install ng WhatsApp sa buong mundo).
Pinagmulan: opennet.ru