Розкрито відомості про критичну
(CVE-2019-3568) у мобільному додатку WhatsApp, що дозволяє досягти виконання свого коду через відправлення спеціально оформленого голосового виклику. Для успішної атаки відповідь на шкідливий виклик не потрібна, достатньо надходження дзвінка. При цьому часто подібний виклик не осідає в журналі дзвінків і атака може залишитись непоміченою користувачем.
Вразливість не пов'язана з протоколом Signal, а викликана переповненням буфера у специфічному для WhatsApp VoIP-стеку. Проблему можна експлуатувати через відправлення на пристрій жертви спеціально оформленої серії пакетів SRTCP. Вразливість проявляється в WhatsApp для Android (виправлено 2.19.134), WhatsApp Business для Android (виправлено 2.19.44), WhatsApp для iOS (2.19.51), WhatsApp Business для iOS (2.19.51), WhatsApp для Windows Phone ( 2.18.348) та WhatsApp для Tizen (2.18.15).
Цікаво, що у проведеному минулого року WhatsApp і Facetime проект Zero звернув увагу на недоробку, що дозволяє відправляти та обробляти пов'язані з голосовим викликом керуючі повідомлення на стадії до прийняття дзвінка користувачем. WhatsApp було рекомендовано видалити цю можливість і показано, що під час проведення fuzzing-перевірки відправка подібних повідомлень призводить до крахів програми, тобто. ще минулого року було відомо, що код має потенційні вразливості.
Після виявлення перших слідів компрометації пристроїв у п'ятницю інженери Facebook розпочали розробку методу захисту, в неділю обхідним шляхом забезпечили блокування лазівки на рівні серверної інфраструктури, а у понеділок почали поширення оновлення з виправленням клієнтського програмного забезпечення. Поки не зрозуміло, скільки пристроїв були атаковані з використанням вразливості. Повідомляється лише про спробу компрометації в неділю смартфона одного з правозахисників, що не завершилася успіхом, за допомогою методу, що нагадує технологію NSO Group, а також про спробу атаки на смартфон співробітника правозахисної організації Amnesty International.
Проблема без зайвого розголосу була ізраїльською компанією NSO Group, яка змогла використати вразливість для організації встановлення на смартфони шпигунського ПЗ для забезпечення стеження правоохоронними органами. Компанія NSO заявила, що дуже ретельно перевіряє клієнтів (співпрацює лише з правоохоронними органами та спецслужбами) та розслідує всі скарги на зловживання. У тому числі зараз ініційовано розгляд, пов'язаний із зафіксованими атаками на WhatsApp.
NSO відкидає причетність до конкретних атак і заявляє лише про розробку технологій для спецслужб, але постраждалий правозахисник має намір у суді довести, що компанія поділяє відповідальність з клієнтами, які зловживають наданим ним ПЗ, і продавала свої продукти службам, відомим своїми порушеннями прав людини.
Компанія Facebook ініціювала розслідування про можливу компрометацію пристроїв і минулого тижня приватно поділилася першими результатами з Міністерством юстиції США, а також повідомила про проблему деякі правозахисні організації для координації інформування суспільства (у світі налічується близько 1.5 млрд установок WhatsApp).
Джерело: opennet.ru