В WhatsApp выявлена очередная уязвимость, позволявшая шпионить за пользователями

В WhatsApp выявлена очередная уязвимость, позволявшая шпионить за пользователями

Для компрометации злоумышленнику нужно всего лишь выяснить номер телефона жертвы и отправить ей вредоносный файл MP4.

image

Не привлекая лишнего внимания, компания Facebook исправила уязвимость в популярном мессенджере WhatsApp, предоставлявшую возможность удаленно скомпрометировать целевое устройство и похитить хранящуюся на нем защищенную информацию.

Проблема, получившая идентификатор CVE-2019-11931, представляет собой уязвимость переполнения буфера, связанную с реализованным в предыдущих версиях WhatsApp механизмом парсинга потока метаданных MP4 файла, что могло привести к возможности вызова сбоя в работе или удаленного выполнения кода.

Проэксплуатировать проблему достаточно просто. Для этого злоумышленнику потребуется выяснить номер телефона жертвы и отправить ей по WhatsApp специально сформированнный файл в формате MP4, который может быть использован для незаметной установки бэкдора или шпионского ПО на устройство.

Уязвимость затрагивает как потребительскую, так и корпоративную версии WhatsApp для всех основных платформ, включая Google Android, Apple iOS и Microsoft Windows. Согласно предупреждению Facebook, уязвимость содержится в следующих версиях приложения:

  • Android-версии до 2.19.274;

  • iOS-версии младше 2.19.100;

  • Версии Enterprise Client до 2.25.3;

  • Версии для Windows Phone младше и включая 2.18.368;

  • Версии Business for Android до 2.19.104;

  • Версии Business for iOS до 2.19.100.

Как сообщили представители WhatsApp, случаи использования «свежеисправленной» уязвимости в целевых атаках не зафиксированы.

Характер уязвимости сходен с проблемой CVE-2019-3568 , исправленной инженерами Facebook в мае нынешнего года. Данная уязвимость также позволяла установить программы для слежки за пользователями и, более того, успешно была использована в реальных атаках для установки шпионской программы Pegasus производства израильской компании NSO Group. В конце октября текущего года компания WhatsApp подала в суд на NSO Group, обвинив последнюю в пособничестве правительственным спецслужбам во взломе телефонов порядка 1,4 тыс. пользователей по всему миру, в том числе дипломатов, оппозиционеров, журналистов и высокопоставленных должностных лиц.


Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle