Spyware pe telefoane inteligente prin exploatarea unei vulnerabilități zero-day a WhatsApp

2019/05/14
Popularitate 1155

Foto: Unsplash

Din ce în ce mai multe persoane renunță la convenționalul SMS în favoarea aplicațiilor de mesagerie precum WhatsApp, Facebook Messenger etc. Din pricina popularității crescute a serviciilor, atacatorii vizează vulnerabilități ale aplicațiilor pentru a compromite dispozitivele utilizatorilor.

WhatsApp este o aplicație de chat deținută de Facebook care permite relaționarea a două sau mai multe persoane prin intermediul unei conexiuni la internet. Datorită consumului scăzut de date mobile, aplicația a devenit din ce în ce mai folosită de-a lungul timpului.

Descriere

Whatsapp este folosit de 1.5 miliarde de oameni la nivel mondial. La începutul lunii mai s-a descoperit că atacatorii au putut instala un software de monitorizare atât pe iPhone cât și pe dispozitivele Android, folosind funcția de apel a aplicației.

Potrivit unei recomandări publicate de Facebook, o vulnerabilitate buffer overflow în WhatsApp VOIP permite atacatorilor să execute de la distanță coduri arbitrare pe telefoanele țintă, trimițând o serie specială de pachete SRTCP.

Codul malițios poate să fie transmis chiar dacă utilizatorul nu răspunde, apelurile dispărând din log-uri. Vulnerabilitatea a fost operaționalizată de compania israeliană NSO Group, care produce cel mai avansat program spyware de pe planetă. Exploatarea acestei vulnerabilități se face prin instalarea unui spyware (Pegasus) pe dispozitive Android și iOS.

Aparent, vulnerabilitatea, identificată ca CVE-2019-3568, poate fi exploatată cu succes pentru a instala spyware-ul și pentru a fura date dintr-un telefon Android sau iPhone potrivit, prin plasarea unui apel WhatsApp chiar și atunci când apelul nu este răspuns.

Impact

Facebook a declarat că vulnerabilitatea a fost descoperită în luna mai a acestui an și că deja a făcut demersurile necesare alertării forțelor de ordine americane în privința exploatării, publicând totodată o alertă legată de acest tip de vulnerabilitate, pentru a face cunoscut acest lucru utilizatorilor săi.

Varianta de spyware oferă acces la distanță atacatorilor la o serie de informații din dispozitivele victimelor, cum ar fi: sms-uri, email-uri, lista de contacte și de apeluri, mesaje WhatsApp, monitorizarea locației în timp real și chiar accesarea camerei telefonului. 

Momentan, numărul utilizatorilor afectați este unul restrâns, cei de la WhatsApp subliniind faptul că acest tip de atac nu este de obicei utilizat la scară largă, împotriva utilizatorilor obișnuiți. Atacul are toate semnele distinctive ale unei firme private care lucrează din ordin guvernamental pentru a livra un spyware care preia controlul funcțiilor sistemului de operare al dispozitivelor mobile, spun cei de la WhatsApp.

Versiuni afectate: 

  • WhatsApp pentru Android antecedent versiunii 2.19.134
  • WhatsApp Business pentru Android mai vechi de veriunea 2.19.44
  • WhatsApp pentru iOS antecedent versiunii 2.19.51
  • WhatsApp Business mai vechi de versiunea 2.19.51
  • WhatsApp pentru Windows mai vechi de versiunea 2.18.348
  • WhatsApp pentru Tizen mai vechi de verisunea 2.18.15

Vulnerabilitatea a fost folosită deja într-o încercare de a ataca telefonul unui avocat din Marea Britanie pe data de 12 mai. Avocatul, care nu a fost identificat după nume, era implicat într-un proces contra firmei NSO.

Remediere

Echipa CERT-RO recomandă actualizarea (update) acestor aplicații pe toate sistemele de operare unde folosiți acest serviciu, pentru a preveni execuția codului malițios.  

Surse

The Guardian

The Hacker News


Vizualizat de 2800 ori