Tanqidiy haqida ma'lumot
(CVE-2019-3568) WhatsApp mobil ilovasida, bu maxsus ishlab chiqilgan ovozli qo'ng'iroqni yuborish orqali kodingizni bajarishga imkon beradi. Muvaffaqiyatli hujum uchun zararli qo'ng'iroqqa javob berish shart emas, qo'ng'iroq qilish kifoya. Biroq, bunday qo'ng'iroq ko'pincha qo'ng'iroqlar jurnalida ko'rinmaydi va hujum foydalanuvchining e'tiboridan chetda qolishi mumkin.
Zaiflik Signal protokoli bilan bog'liq emas, lekin WhatsApp-ga xos VoIP stekidagi buferning to'lib ketishi tufayli yuzaga keladi. Jabrlanuvchining qurilmasiga maxsus ishlab chiqilgan SRTCP paketlarini yuborish orqali muammodan foydalanish mumkin. Zaiflik Android uchun WhatsApp (2.19.134 da tuzatilgan), Android uchun WhatsApp Business (2.19.44 da tuzatilgan), iOS uchun WhatsApp (2.19.51), iOS uchun WhatsApp Business (2.19.51), Windows Phone uchun WhatsApp ( 2.18.348) va Tizen uchun WhatsApp (2.18.15).
Qizig'i shundaki, o'tgan yili WhatsApp va Facetime Project Zero ovozli qo‘ng‘iroq bilan bog‘liq boshqaruv xabarlarini foydalanuvchi qo‘ng‘iroqni qabul qilishdan oldingi bosqichda yuborish va qayta ishlash imkonini beruvchi kamchilikka e’tibor qaratdi. WhatsApp-ga ushbu xususiyatni olib tashlash tavsiya qilindi va fuzzing testini o'tkazishda bunday xabarlarni yuborish ilovalarning ishdan chiqishiga olib kelishi ko'rsatildi, ya'ni. Hatto o'tgan yili ham kodda mumkin bo'lgan zaifliklar mavjudligi ma'lum edi.
Juma kuni qurilma buzilishining birinchi izlarini aniqlagandan so'ng, Facebook muhandislari himoya usulini ishlab chiqishni boshladilar, yakshanba kuni ular vaqtinchalik yechim yordamida server infratuzilmasi darajasidagi bo'shliqni to'sib qo'yishdi va dushanba kuni mijoz dasturiy ta'minotini tuzatgan yangilanishni tarqatishni boshladilar. Zaiflikdan foydalanib, qancha qurilma hujumga uchragani hozircha aniq emas. Faqat yakshanba kuni NSO Group texnologiyasini eslatuvchi usul yordamida huquq himoyachilaridan birining smartfonini buzish, shuningdek, Amnesty International huquqni muhofaza qilish tashkiloti xodimining smartfoniga hujum qilishga urinish muvaffaqiyatsiz yakunlangani haqida xabar berilgan edi.
Muammo keraksiz reklamasiz edi Isroilning NSO Group kompaniyasi zaiflikdan foydalanib, huquq-tartibot idoralari tomonidan kuzatuvni ta'minlash uchun smartfonlarga josuslik dasturlarini o'rnatishga muvaffaq bo'ldi. NSO mijozlarni juda ehtiyotkorlik bilan tekshiradi (u faqat huquqni muhofaza qilish va razvedka idoralari bilan ishlaydi) va suiiste'mollik haqidagi barcha shikoyatlarni tekshiradi. Xususan, hozirda WhatsApp’da qayd etilgan hujumlar bo‘yicha sud jarayoni boshlandi.
NSO ma'lum hujumlarga aloqadorligini rad etadi va faqat razvedka idoralari uchun texnologiya ishlab chiqishga da'vo qiladi, ammo jabrlanuvchi huquq himoyachisi sudda kompaniya ularga taqdim etilgan dasturiy ta'minotni suiiste'mol qilgan mijozlar bilan javobgarlikni baham ko'rishini va o'z mahsulotlarini taniqli xizmatlarga sotganini isbotlamoqchi. ularning inson huquqlarining buzilishi.
Facebook qurilmalarning buzilishi bo‘yicha tekshiruvni boshladi va o‘tgan hafta birinchi natijalarni AQSh Adliya vazirligi bilan xususiy ravishda baham ko‘rdi, shuningdek, aholining xabardorligini muvofiqlashtirish uchun muammo haqida bir qancha inson huquqlari tashkilotlarini xabardor qildi (dunyo bo‘ylab WhatsApp’ning 1.5 milliardga yaqin o‘rnatilishi mavjud).
Manba: opennet.ru