WhatsApp σήμερα αποκάλυψε μια ευπάθεια που επέτρεψε στους χάκερ να εκμεταλλευτούν εξ αποστάσεως ένα σφάλμα στο σύστημα ακουστικών κλήσεων της εφαρμογής για να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες σε iPhone ή συσκευή Android.
Σύμφωνα με Οι Νιου Γιορκ Ταιμς , οι εισβολείς μπόρεσαν να εισαγάγουν κακόβουλο κώδικα στο WhatsApp, επιτρέποντάς τους να κλέψουν δεδομένα, ανεξάρτητα από το αν απαντήθηκε ή όχι μια τηλεφωνική κλήση WhatsApp.
Ερευνητές ασφαλείας είπαν ότι το λογισμικό υποκλοπής που εκμεταλλεύτηκε αυτό το ελάττωμα παρουσίαζε χαρακτηριστικά του κατασκοπευτικού λογισμικού Pegasus από τον Όμιλο NSO, το οποίο κανονικά χορηγείται σε κυβερνήσεις που αγοράζουν το λογισμικό υποκλοπής spyware για εγκατάσταση σε συσκευές ατόμων που αποτελούν στόχο έρευνας.
Περιγραφή: Μια ευπάθεια υπερχείλισης buffer στη στοίβα VOIP του WhatsApp επέτρεψε την απομακρυσμένη εκτέλεση κώδικα μέσω ειδικά διαμορφωμένης σειράς πακέτων SRTCP που αποστέλλονται σε έναν αριθμό τηλεφώνου-στόχου.
Εκδόσεις που επηρεάζονται: Το ζήτημα επηρεάζει το WhatsApp για Android πριν από την έκδοση 2.19.134, το WhatsApp Business για Android πριν από την έκδοση 2.19.44, το WhatsApp για iOS πριν από την έκδοση 2.19.51, το WhatsApp Business για iOS πριν από την έκδοση 2.19.51, το WhatsApp για Windows Phone πριν από την έκδοση 2.18.348 , και WhatsApp για Tizen πριν από την έκδοση 2.18.15.
Η ευπάθεια περιγράφηκε από το WhatsApp ως «μη τετριμμένη στην ανάπτυξη, περιορίζοντάς την σε προχωρημένους και με υψηλά κίνητρα ηθοποιούς», αλλά δεν είναι σαφές πόσο καιρό ήταν διαθέσιμο το ελάττωμα ασφαλείας ούτε πόσα άτομα επηρεάστηκαν. Χρησιμοποιήθηκε για να στοχεύσει έναν δικηγόρο από το Λονδίνο, ο οποίος είχε εμπλακεί σε αγωγές κατά του Ομίλου NSO, και οι ερευνητές ασφαλείας πιστεύουν ότι θα μπορούσαν να είχαν στοχοποιηθεί και άλλοι.
Οι μηχανικοί του WhatsApp «δούλευαν όλο το εικοσιτετράωρο» για να αντιμετωπίσουν την ευπάθεια και διέθεσαν μια ενημέρωση κώδικα τη Δευτέρα. Η αρχική ευπάθεια ανακαλύφθηκε πριν από δέκα ημέρες αφού το WhatsApp διαπίστωσε μη φυσιολογική δραστηριότητα φωνητικών κλήσεων μετά από καταγγελίες του προαναφερθέντος δικηγόρου. Η WhatsApp λέει ότι έχει ειδοποιήσει το Υπουργείο Δικαιοσύνης και έναν «αριθμό οργανώσεων ανθρωπίνων δικαιωμάτων» για το θέμα.
Εκσυγχρονίζω: Τα σχόλια των αναγνωστών πρότειναν ότι ορισμένες από τις διατυπώσεις σε αυτό το άρθρο ήταν συγκεχυμένες ή παραπλανητικές, επομένως την ενημερώσαμε για να βεβαιωθούμε ότι οι λεπτομέρειες της ευπάθειας είναι σαφείς. Συγκεκριμένα, αυτό το ζήτημα επηρέασε το WhatsApp και όχι το λειτουργικό σύστημα iOS.
Σημείωση: Λόγω της πολιτικής φύσης της συζήτησης σχετικά με αυτό το θέμα, το νήμα συζήτησης βρίσκεται στο δικό μας Πολιτική, Θρησκεία, Κοινωνικά Θέματα δικαστήριο. Όλα τα μέλη του φόρουμ και οι επισκέπτες του ιστότοπου είναι ευπρόσδεκτοι να διαβάσουν και να ακολουθήσουν το νήμα, αλλά η ανάρτηση περιορίζεται σε μέλη του φόρουμ με τουλάχιστον 100 δημοσιεύσεις.
Δημοφιλείς Αναρτήσεις