Розкрито відомості про критичну
Вразливість не пов'язана з протоколом Signal, а викликана переповненням буфера у специфічному для WhatsApp VoIP-стеку. Проблему можна експлуатувати через відправлення на пристрій жертви спеціально оформленої серії пакетів SRTCP. Вразливість проявляється в WhatsApp для Android (виправлено 2.19.134), WhatsApp Business для Android (виправлено 2.19.44), WhatsApp для iOS (2.19.51), WhatsApp Business для iOS (2.19.51), WhatsApp для Windows Phone ( 2.18.348) та WhatsApp для Tizen (2.18.15).
Цікаво, що у проведеному минулого року
Після виявлення перших слідів компрометації пристроїв у п'ятницю інженери Facebook розпочали розробку методу захисту, в неділю обхідним шляхом забезпечили блокування лазівки на рівні серверної інфраструктури, а у понеділок почали поширення оновлення з виправленням клієнтського програмного забезпечення. Поки не зрозуміло, скільки пристроїв були атаковані з використанням вразливості. Повідомляється лише про спробу компрометації в неділю смартфона одного з правозахисників, що не завершилася успіхом, за допомогою методу, що нагадує технологію NSO Group, а також про спробу атаки на смартфон співробітника правозахисної організації Amnesty International.
Проблема без зайвого розголосу була
NSO відкидає причетність до конкретних атак і заявляє лише про розробку технологій для спецслужб, але постраждалий правозахисник має намір у суді довести, що компанія поділяє відповідальність з клієнтами, які зловживають наданим ним ПЗ, і продавала свої продукти службам, відомим своїми порушеннями прав людини.
Компанія Facebook ініціювала розслідування про можливу компрометацію пристроїв і минулого тижня приватно поділилася першими результатами з Міністерством юстиції США, а також повідомила про проблему деякі правозахисні організації для координації інформування суспільства (у світі налічується близько 1.5 млрд установок WhatsApp).
Джерело: opennet.ru