تنقیدی کے بارے میں معلومات
(CVE-2019-3568) واٹس ایپ موبائل ایپلیکیشن میں، جو آپ کو خاص طور پر ڈیزائن کردہ وائس کال بھیج کر اپنے کوڈ پر عمل کرنے کی اجازت دیتا ہے۔ ایک کامیاب حملے کے لیے، نقصان دہ کال کا جواب ضروری نہیں ہے؛ ایک کال کافی ہے۔ تاہم، اس طرح کی کال اکثر کال لاگ میں ظاہر نہیں ہوتی اور اس حملے پر صارف کا دھیان نہیں جا سکتا۔
خطرے کا تعلق سگنل پروٹوکول سے نہیں ہے، لیکن یہ WhatsApp کے مخصوص VoIP اسٹیک میں بفر اوور فلو کی وجہ سے ہوتا ہے۔ متاثرہ کے آلے پر SRTCP پیکٹوں کی خصوصی طور پر ڈیزائن کردہ سیریز بھیج کر مسئلہ کا فائدہ اٹھایا جا سکتا ہے۔ کمزوری WhatsApp کے لیے اینڈرائیڈ (2.19.134 میں طے شدہ)، WhatsApp بزنس فار اینڈرائیڈ (2.19.44 میں طے شدہ)، WhatsApp کے لیے iOS (2.19.51)، WhatsApp کے لیے iOS (2.19.51)، WhatsApp کے لیے Windows فون کو متاثر کرتی ہے۔ 2.18.348) اور WhatsApp برائے Tizen (2.18.15)۔
دلچسپ بات یہ ہے کہ پچھلے سال میں واٹس ایپ اور فیس ٹائم پروجیکٹ زیرو نے ایک خامی کی طرف توجہ مبذول کرائی جو صارف کے کال قبول کرنے سے پہلے وائس کال سے منسلک کنٹرول پیغامات کو بھیجے اور اس پر کارروائی کرنے کی اجازت دیتا ہے۔ واٹس ایپ کو اس فیچر کو ہٹانے کی سفارش کی گئی تھی اور یہ دکھایا گیا تھا کہ فزنگ ٹیسٹ کرتے وقت ایسے پیغامات بھیجنے سے ایپلی کیشن کریش ہو جاتی ہے، یعنی پچھلے سال بھی یہ معلوم ہوا تھا کہ کوڈ میں ممکنہ کمزوریاں ہیں۔
جمعہ کو ڈیوائس سمجھوتہ کے پہلے نشانات کی نشاندہی کرنے کے بعد، فیس بک کے انجینئرز نے تحفظ کا ایک طریقہ تیار کرنا شروع کیا، اتوار کو انہوں نے سرور کے بنیادی ڈھانچے کی سطح پر ایک کام کا استعمال کرتے ہوئے اس خامی کو روک دیا، اور پیر کو انہوں نے ایک اپ ڈیٹ تقسیم کرنا شروع کر دیا جس نے کلائنٹ سافٹ ویئر کو ٹھیک کر دیا۔ ابھی تک یہ واضح نہیں ہے کہ خطرے کا استعمال کرتے ہوئے کتنے آلات پر حملہ کیا گیا۔ اتوار کے روز انسانی حقوق کے کارکنوں میں سے ایک کے اسمارٹ فون سے سمجھوتہ کرنے کی ایک ناکام کوشش کی اطلاع دی گئی تھی جس میں NSO گروپ ٹیکنالوجی کی یاد دلانے کے ساتھ ساتھ انسانی حقوق کی تنظیم ایمنسٹی انٹرنیشنل کے ایک ملازم کے اسمارٹ فون پر حملہ کرنے کی کوشش کی گئی تھی۔
مسئلہ غیر ضروری تشہیر کے بغیر تھا۔ اسرائیلی کمپنی NSO گروپ، جو قانون نافذ کرنے والے اداروں کے ذریعے نگرانی فراہم کرنے کے لیے اسمارٹ فونز پر اسپائی ویئر انسٹال کرنے کے لیے خطرے کو استعمال کرنے میں کامیاب رہی۔ NSO نے کہا کہ وہ صارفین کی بہت احتیاط سے اسکریننگ کرتا ہے (یہ صرف قانون نافذ کرنے والے اور انٹیلی جنس ایجنسیوں کے ساتھ کام کرتا ہے) اور بدسلوکی کی تمام شکایات کی چھان بین کرتا ہے۔ خاص طور پر، اب واٹس ایپ پر ریکارڈ کیے گئے حملوں سے متعلق مقدمے کی سماعت شروع کر دی گئی ہے۔
این ایس او مخصوص حملوں میں ملوث ہونے کی تردید کرتا ہے اور صرف انٹیلی جنس ایجنسیوں کے لیے ٹیکنالوجی تیار کرنے کا دعویٰ کرتا ہے، لیکن انسانی حقوق کا شکار کارکن عدالت میں یہ ثابت کرنے کا ارادہ رکھتا ہے کہ کمپنی ان کلائنٹس کے ساتھ ذمہ داری بانٹتی ہے جو انہیں فراہم کردہ سافٹ ویئر کا غلط استعمال کرتے ہیں، اور اپنی مصنوعات کو ان خدمات کو فروخت کرتے ہیں جن کے لیے جانا جاتا ہے۔ ان کے انسانی حقوق کی خلاف ورزیاں۔
فیس بک نے ڈیوائسز کے ممکنہ سمجھوتہ کی تحقیقات کا آغاز کیا اور گزشتہ ہفتے نجی طور پر امریکی محکمہ انصاف کے ساتھ پہلے نتائج کا اشتراک کیا، اور عوامی آگاہی کو مربوط کرنے کے لیے انسانی حقوق کی متعدد تنظیموں کو بھی اس مسئلے کے بارے میں مطلع کیا (دنیا بھر میں تقریباً 1.5 بلین WhatsApp تنصیبات ہیں)۔
ماخذ: opennet.ru