有關關鍵訊息
(CVE-2019-3568) 位於 WhatsApp 行動應用程式中,該應用程式可讓您透過發送專門設計的語音通話來執行程式碼。 對於成功的攻擊,不需要對惡意呼叫做出回應;呼叫就足夠了。 然而,此類呼叫通常不會出現在呼叫日誌中,而且使用者可能不會注意到這種攻擊。
漏洞與 Signal 協定無關,而是由 WhatsApp 特定 VoIP 堆疊中的緩衝區溢位引起。 可以透過向受害者的裝置發送一系列專門設計的 SRTCP 封包來利用該問題。 此漏洞影響WhatsApp for Android(已於2.19.134 修復)、WhatsApp Business for Android(已於2.19.44 修復)、WhatsApp for iOS (2.19.51)、WhatsApp Business for iOS (2.19.51)、WhatsApp for Windows Phone ( 2.18.348) 和 WhatsApp for Tizen (2.18.15)。
有趣的是,在去年的 WhatsApp 和 Facetime Project Zero 引起了人們對一個缺陷的關注,該缺陷允許在用戶接聽電話之前發送和處理與語音通話相關的控制訊息。 建議 WhatsApp 刪除此功能,結果表明,在進行模糊測試時,發送此類訊息會導致應用程式崩潰,即甚至在去年就已經知道程式碼中存在潛在的漏洞。
在周五識別出第一批設備洩漏痕跡後,Facebook 工程師開始開發一種保護方法,週日他們使用變通辦法堵住了伺服器基礎架構層級的漏洞,週一他們開始分發修復客戶端軟體的更新。 目前尚不清楚有多少設備受到該漏洞的攻擊。 據報道,週日僅發生了一次未成功的嘗試,使用一種讓人想起 NSO 集團技術的方法來破壞一名人權活動人士的智慧型手機,並試圖攻擊人權組織大赦國際一名員工的智慧型手機。
問題在於沒有不必要的宣傳 以色列公司 NSO Group 能夠利用漏洞在智慧型手機上安裝間諜軟體,為執法機構提供監視服務。 NSO 表示,它非常仔細地篩選客戶(它只與執法和情報機構合作)並調查所有濫用行為的投訴。 特別是,一項與 WhatsApp 攻擊記錄相關的審判現已啟動。
NSO 否認參與了具體攻擊,並聲稱只是為情報機構開發技術,但受害者人權活動家打算在法庭上證明,該公司與濫用向其提供的軟體的客戶共同承擔責任,並將其產品出售給知名服務機構。他們的人權受到侵害。
Facebook 啟動了對設備可能受到攻擊的調查,並在上週私下向美國司法部分享了第一批結果,同時也向多個人權組織通報了該問題,以協調公眾意識(WhatsApp 在全球範圍內的安裝量約1.5 億)。
來源: opennet.ru