Критическая уязвимость в приложении WhatsApp, пригодная для внедрения вредоносного ПО

Рaскрыты свeдeния o критичeскoй уязвимoсти (CVE-2019-3568) в мoбильнoм прилoжeнии WhatsApp, пoзвoляющeй дoбиться выпoлнeния свoeгo кoдa чeрeз oтпрaвку спeциaльнo oфoрмлeннoгo гoлoсoвoгo вызoвa. Для того успeшнoй aтaки ответ на вредоносный предписание не требуется, достаточно поступления звонка. Рядом этом часто подобный вызов безвыгодный оседает в журнале звонков и атака может остаться незамеченной пользователем. Слабость не связана с протоколом Signal, а вызвана переполнением сиськи в специфичном для WhatsApp VoIP-стеке. Небезукоризненность проявляется в WhatsApp для Android (исправлено в 2.19.134), WhatsApp Business для того Android (исправлено в 2.19.44), WhatsApp в целях iOS (2.19.51), WhatsApp Business для iOS (2.19.51), WhatsApp к Windows Phone (2.18.348) и WhatsApp с целью Tizen (2.18.15). Получив контроль после приложением WhatsApp атакующий может удостоверять шифрованную переписку внутри приложения, брать взаймы звонки и SMS, передавать данные с микрофона и камеры, намолотить доступ к хранилищу, фотографиям и адресной книге, разлагать сетевую активность. Атака на WhatsApp вдобавок может быть первой ступенью пользу кого эксплуатации системных уязвимостей и получения полного контроля после операционной системой. Интересно, что в проводимом в прошлом году исследовании безопасности WhatsApp и Facetime намерение Zero обратил внимание на недоработку, позволяющую заниматься и обрабатывать связанные с голосовым вызовом управляющие сведения на стадии до принятия звонка пользователем. WhatsApp было рекомендовано выдернуть данную возможность и показано, что рядом проведении fuzzing-проверки отправка подобных сообщений приводит к крахам приложения, т.е. всё ещё в прошлом году было известно, а в коде имеются потенциальные уязвимости. Там выявления первых следов компрометации устройств в пятницу инженеры Facebook выпустили оживление с исправлением клиентского ПО и обходным как следует обеспечили блокировку лазейки на уровне серверной инфраструктуры. В (течение того времени не ясно как много устройств было атаковано с использованием уязвимости. Сообщается всего лишь о не завершившейся успехом попытке компрометации в воскресенье смартфона одного изо правозащитников при помощи метода, напоминающего технологию NSO Group, а и о попытке атаки на смартфон сотрудника правозащитной организации Amnesty International. Закавыка без лишней огласки была выявлена израильской компанией NSO Group (иначе у хакерских групп был выкуплен оконченный эксплоит), которая смогла использовать ранимость для организации установки на смартфоны шпионского По части для обеспечения слежки правоохранительными органами. Система NSO заявила, что очень тщательно проверяет клиентов (сотрудничает всего лишь с правоохранительными органами и спецслужбами) и расследует конец жалобы на злоупотребления. В том числе теперь инициировано разбирательство, связанное с зафиксированными атаками бери WhatsApp-приложения правозащитников. Компания Facebook инициировала анализирование о возможной компрометации устройств и на прошлой неделе в частном порядке поделилась первыми результатами с Министерством юстиции США, а как и уведомила о проблеме некоторые правозащитные организации для того координации информирования общества (в мире насчитывается едва не 1.5 млрд установок WhatsApp). Первопричина: http://www.opennet.ru/opennews/art.shtml?num=50679