The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в приложении WhatsApp, пригодная для внедрения вредоносного ПО

14.05.2019 10:17

Раскрыты сведения о критической уязвимости (CVE-2019-3568) в мобильном приложении WhatsApp, позволяющей добиться выполнения своего кода через отправку специально оформленного голосового вызова. Для успешной атаки ответ на вредоносный вызов не требуется, достаточно поступления звонка. При этом часто подобный вызов не оседает в журнале звонков и атака может остаться незамеченной пользователем.

Уязвимость не связана с протоколом Signal, а вызвана переполнением буфера в специфичном для WhatsApp VoIP-стеке. Проблему можно эксплуатировать через отправку на устройство жертвы специально оформленной серии пакетов SRTCP (Secure Real-time Control Protocol). Уязвимость проявляется в WhatsApp для Android (исправлено в 2.19.134), WhatsApp Business для Android (исправлено в 2.19.44), WhatsApp для iOS (2.19.51), WhatsApp Business для iOS (2.19.51), WhatsApp для Windows Phone (2.18.348) и WhatsApp для Tizen (2.18.15).

Получив контроль за приложением WhatsApp атакующий может контролировать шифрованную переписку внутри приложения, перехватывать звонки и SMS, передавать данные с микрофона и камеры, получить доступ к сети, хранилищу, фотографиям и адресной книге. Атака на WhatsApp также может быть первой ступенью для эксплуатации системных уязвимостей и получения полного контроля за операционной системой.

Интересно, что в проводимом в прошлом году исследовании безопасности WhatsApp и Facetime проект Zero обратил внимание на недоработку, позволяющую отправлять и обрабатывать связанные с голосовым вызовом управляющие сообщения на стадии до принятия звонка пользователем. WhatsApp было рекомендовано удалить данную возможность и показано, что при проведении fuzzing-проверки отправка подобных сообщений приводит к крахам приложения, т.е. ещё в прошлом году было известно, что в коде имеются потенциальные уязвимости.

После выявления первых следов компрометации устройств в пятницу инженеры Facebook выпустили обновление с исправлением клиентского ПО и обходным путём обеспечили блокировку лазейки на уровне серверной инфраструктуры. Пока не ясно как много устройств было атаковано с использованием уязвимости. Сообщается лишь о не завершившейся успехом попытке компрометации в воскресенье смартфона одного из правозащитников при помощи метода, напоминающего технологию NSO Group, а также о попытке атаки на смартфон сотрудника правозащитной организации Amnesty International.

Проблема без лишней огласки была выявлена израильской компанией NSO Group (или у хакерских групп был выкуплен готовый эксплоит), которая смогла использовать уязвимость для организации установки на смартфоны шпионского ПО для обеспечения слежки правоохранительными органами. Компания NSO заявила, что очень тщательно проверяет клиентов (сотрудничает только с правоохранительными органами и спецслужбами) и расследует все жалобы на злоупотребления. В том числе сейчас инициировано разбирательство, связанное с зафиксированными атаками на WhatsApp-приложения правозащитников.

NSO отвергает причастность к конкретным атакам и заявляет лишь о разработке технологий для спецслужб, но пострадавший правозащитник намерен в суде доказать, что компания разделяет ответственность c клиентами, злоупотребляющими предоставленным им ПО, и продавала свои продукты службам, известным своими нарушениями прав человека.

Компания Facebook инициировала расследование о возможной компрометации устройств и на прошлой неделе в частном порядке поделилась первыми результатами с Министерством юстиции США, а также уведомила о проблеме некоторые правозащитные организации для координации информирования общества (в мире насчитывается около 1.5 млрд установок WhatsApp).

  1. Главная ссылка к новости (https://arstechnica.com/inform...)
  2. OpenNews: Представлен метод атаки на групповой чат WhatsApp и Signal
  3. OpenNews: Поддельное приложение WhatsApp в Google Play установили более миллиона пользователей
  4. OpenNews: Завершено открытие серверной части сервиса мгновенного обмена сообщениями Wire
  5. OpenNews: Уязвимость в WhatsApp, позволяющая перехватывать чужие сообщения
  6. OpenNews: Компания WhatsApp добилась блокирования 38 открытых проектов, размещённых на GitHub
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: whatsapp, spyware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (101) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Fracta1L (ok), 10:36, 14/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    Вот же дегенераты! Теперь телефон начистую сбрасывать из-за них?
     
     
  • 2.3, Онанимус (?), 10:49, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +44 +/
    Вам нечего скрывать!
     
     
  • 3.11, Аноним (11), 11:24, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Таки вполне кашерная дырдочка в ПО.
     
  • 3.50, Егоркий (?), 13:49, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    о да, так все говорят, кто топит за проприетарное по.
     
     
  • 4.78, хотел спросить (?), 19:36, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    да это сарказм был про тех, кто топит за "нечего скрывать"
     
  • 2.7, товарищ майор (?), 11:18, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +21 +/
    зачем сбрасывать? Можешь его просто выбросить.
    Все твои контакты, фоточки, данные gps, истории переписок, звонков и чятиков, теперь надежно хранятся у меня.

    Поскольку в твоем телефоне очень мало такой ценной информации, к которой ты не разрешил бы доступ всосапу.

     
     
  • 3.15, нах (?), 11:28, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    И где это они у тебя хранятся, господин мажор?
     
     
  • 4.52, X86 (ok), 14:04, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    на серверах Google.
     
  • 4.106, agent_007 (ok), 14:42, 15/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > И где это они у тебя хранятся, господин мажор?

    Whatsapp бэкап чятиков складывает в gdrive в открытом виде.

     
  • 3.31, Дыщь (?), 12:11, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Жду хоть один
     
  • 2.10, Аноним (11), 11:24, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Нет ли тут антисемизма?
     
     
  • 3.19, Аноним (19), 11:37, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Тут даже гомофобией попахивает.
     
     
  • 4.20, InuYasha (?), 11:45, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    А.. как она пахнет? o_O
     
     
  • 5.30, Аноним (19), 11:54, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >Уязвимость проявляется в ... , WhatsApp для iOS (2.19.51), WhatsApp Business для iOS (2.19.51)
     
     
  • 6.60, й (?), 16:01, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а теперь читаем первоисточник: "WhatsApp for iOS prior to v2.19.51, WhatsApp Business for iOS prior to v2.19.51".
     
  • 2.12, Анонимус Вульгарис (?), 11:26, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Ты уже пользуешься вацапом, чего же боле?
     
     
  • 3.24, товарищ майор (?), 11:48, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    пока он им пользовался - данные были только у г-на майора.
    А когда МЫ им начали пользоваться - теперь они есть и у нас. Ну и еще у наших израильских коллег, которые, как они справедливо утверждают, сотрудничают с правоохренительными органами.
     
  • 2.13, конь в пальто (?), 11:26, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    а когда ты ставил подобные чятики ты на что рассчитывал? на пресловутую приватность?
     
     
  • 3.37, Fracta1L (ok), 12:35, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • –20 +/
    Вотсапп дырявый, и попенсорс дырявый, но в Вотсаппе хотя бы люди есть
     
     
  • 4.91, Dmitry77 (ok), 21:36, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    переходи на delta.chat
     
  • 4.98, Led (ok), 21:58, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Вотсапп дырявый

    Ну да, он - как ты.

     
  • 3.38, Аноним (38), 12:45, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ну уржешся просто. телефон для связи используещь и на что-то там расчитываешь.
    Ты небось паспорт не получал и из дома не выходишь с 16 лет, а инетом пользуешься взломанным соседским?
     
     
  • 4.41, товарищ майор (?), 13:07, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    вообще-то хранить записи твоей болтовни с шлюхами - немного дорого и искать там ... текст свёрнут, показать
     
  • 3.83, Аноним (83), 20:26, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    То ли дело BitMessage, евалившая данные прямиком из пакетов протокола.
     
  • 2.100, Crazyclimber (?), 22:16, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Хана ватсаперам
     
  • 2.113, Аноним (113), 11:09, 20/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > телефон начистую сбрасывать

    Да. С балкона на асфальт. А потом купить кнопочник за 800 р.

     

  • 1.2, Аноним (-), 10:38, 14/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Комментировать страшно...
     
     
  • 2.17, Аноним (11), 11:31, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Комментируете с устройства где нет WhatZapp.
     
     
  • 3.23, Аноним (19), 11:48, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    заЧтоЦап?
     
  • 3.25, Аноним (25), 11:49, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Марк все равно узнает что ты написал.
     

  • 1.4, Анонимус154 (?), 10:50, 14/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Каким образом происходила установка шпионского ПО, если для установки какого-либо ПО на телефон нудно явное подтверждение пользователя?
    Или все ограничилось работой вредоносного кода в контексте песочницы, в которой работает приложение WhatsApp?
     
     
  • 2.5, Dapredator (?), 10:56, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чукча не читатель, чукча писатель?
     
     
  • 3.6, Анонимус154 (?), 11:12, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В тексте нет ответа
     
     
  • 4.85, Аноним (85), 20:36, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы даёте вотсаппу права на сообщения, адресную книгу, микрофон, камеру, геопозицию, и др.
    Вредоносный код от имени вотсаппа пользуется предоставленными правами. Разве этого не достаточно?
     
  • 3.9, Анонимус154 (?), 11:21, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Если вы про третий с конца абзац, то там нет явной отсылки к уязвимости в ОС, а если пройти по ссылке а том же абзаце - там речь идёт про всю ту же уязвимость в WhatsApp, ответа как устанавливается ПО в систему в статье нет.
     
     
  • 4.64, Аноним (64), 16:09, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Раскрыты сведения о критической уязвимости (CVE-2019-3568) в мобильном приложении >WhatsApp
    > ответа как устанавливается ПО в систему в статье нет.

    Объясните человеку как установить WhatsApp!! Мучается..

     
     
  • 5.92, Michael Shigorin (ok), 21:36, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ...на Jolla :]

    (не, не мучаюсь, кстати)

     
  • 2.8, Аноним (8), 11:20, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    У приложения WhatsApp прав достаточно, чтобы снифить сеть, перехватывать звонки ... текст свёрнут, показать
     
     
  • 3.14, Анонимус154 (?), 11:27, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это-то понятно (хотя, к тем же смс доступ ему давать совсем не обязательно), но в статье сказано, что уязвимость использовалась "для установки шпионского ПО". Вот я и спрашиваю: как именно эта установка производилась? Через ещё одну уязвимость, теперь уже в ОС?
     
     
  • 4.26, Аноним (26), 11:49, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вы не поверите, но раньше их троян распространялся через обычные текстовые ссылки с предложением установить программу. И ведь куча людей покупались... Так что подтверждение полномочий не проблема, многие на автомате не думая соглашаются со всеми подобными запросами полномочий. Хранитель экрана с миллионной аудиторией, запрашивающий полный доступ к сети, переписке, микрофону и прочим прелестям, сегодня вполне обычное явление.

    Получить полный доступ после взлома приложения тоже не сильно сложная задача в условии, что каждый месяц правят десятки критических уязвимостей ( https://source.android.com/security/bulletin/ ), а производители не спешат с выпуском обновлений или через год уже полностью забивают на них.

     
     
  • 5.59, Аноним (59), 15:46, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Одно дело троян. А вот зачем официальному приложению "Погода" от Сяоми разрешение на совершение звонков? Кому прогноз погоды звонить собрался? Китайскому правительству?
     
     
  • 6.86, Аноним (85), 20:41, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Скорее всего для того, чтобы смотреть историю вызовов
     
  • 6.88, Ляо Бяо Мя (?), 21:05, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Кому прогноз погоды звонить собрался?

    Ндшим мегеорологдм. Эго много дешевле чем держдть сервəры и проникдть к ним чер€з великий Китдйсkий фдирвол.

     
  • 3.34, Нанобот (ok), 12:27, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >У приложения WhatsApp прав достаточно, чтобы снифить сеть

    насколько я знаю, пользовательские приложения не могут снифить сеть вообще (ни в андроиде, ни в айОС), и это by design. только рутованое устройство может

     
     
  • 4.49, НяшМяш (ok), 13:45, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А теперь вспоминаем, что мы на опеннете и здесь все поголовно ходят исключительно с рутоваными девайсами. Ведь функциональность же и каждую секунду может понадобиться девайс в качестве рабочей станции.
     
     
  • 5.67, Аноним (67), 16:26, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ты не путай с чпда, где все поголовно ССЗБ. Тут только 95%.
     
     
  • 6.97, Аноним84701 (ok), 21:49, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ты не путай с чпда, где все поголовно ССЗБ. Тут только 95%.

    Зато "ждуны апдейтов" конечно же не-ССЗБы.
    Как там, BlueBorne и KRACK уже пофиксили или просто высветилось "вашему смарту уже больше года, мы окончательно кладем большой и толстый на поддержку! С неуважением, Ваш вендор!"?

     
     
  • 7.103, Аноним (103), 23:30, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Какая связь между (не)рутованностью и (не)использованием прошивки от вендора?
     

  • 1.16, Аноним (19), 11:30, 14/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +19 +/
    "Критическая уязвимость в шпионском ПО WhatsApp, пригодная для внедрения другого вредоносного ПО"
     
     
  • 2.53, Аноним (53), 14:28, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Установленных на дрявых девайсах, которые и без того сливают всё, до чего дотянуться
     

  • 1.21, InuYasha (?), 11:47, 14/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Как все дырки найдут, он тоже станет запрещённым в России? :D
     
     
  • 2.33, товарищ майор (?), 12:26, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет. Технологическое отверстие оставят, мы договорились.
     

  • 1.22, Аноним (25), 11:48, 14/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Я почти уверен что проблема в их Erlang овском воип стеке. Но Эрланг тут все любят. Так что виноват явно Цукерберг.
     
     
  • 2.28, Аноним (19), 11:51, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Виноват он в том, что бекдор для майора плохо спрятал.
     
  • 2.35, товарищ майор (?), 12:32, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Так что виноват явно Цукерберг.

    Ну если сотрудники за полгода не почесались исправить ошибки, о которых им было сообщено, что они потенциально ведут к уязвимостям, то да, главный начальник тоже виноват. И вообще с такой конторой дел иметь не стоит, хотя последнее и так давно понятно.

     
  • 2.43, Аноним (43), 13:16, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Там в otp какой-то воип стек что ли встроили? Интересные новости
     
  • 2.57, Ordu (ok), 15:26, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Эта неуверенность проистекает от неумения пользоваться мозгом для оценки вероятн... текст свёрнут, показать
     

  • 1.29, анон (?), 11:53, 14/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Происки разработчиков Viber, из одной страны.
     
  • 1.32, Нанобот (ok), 12:15, 14/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    >компания разделяет ответственность c клиентами, злоупотребляющими предоставленным им ПО

    по той же логике: производители ножей должны разделять ответственность за преступления, совершённые с помощью их продукции

     
     
  • 2.36, Аноним (67), 12:35, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ножи имеют разнообразное назначение, а у данного ПО оно одно-единственное. И в большинстве стран разработка такого ПО запрещена законом. (Если хочешь продолжить аналогию — точно так же, как и производство определённых видов оружия.)
     
  • 2.51, fi2fi (?), 14:01, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Конечно, мастер по производству финок тоже сядет
     

  • 1.39, Аноним (39), 12:47, 14/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ура, я WhatsApp'ом не пользуюсь.
     
     
  • 2.45, Аноним (67), 13:29, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Продолжай пользоваться вибером, в нём дыры пока эксплуатируют, не палясь.
     
     
  • 3.63, Аноним (-), 16:06, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • –7 +/
    В отношении Вайбера, хотя бы, понятно, что никто кроме Моссад, не будет иметь доступ к вашей переписке и списку контактов. Совсем не факт, что они захотят поделиться с АНБ.
     
     
  • 4.68, Аноним (67), 16:31, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Наивное дитя: верит, что случайных дыр не бывает, а бывают только бекдоры. Хотя, казалось бы, сабж наглядно демонстрирует обратное.
     
  • 4.72, товарищ майор (?), 17:01, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вообще-то они и со мной с превеликим удовольствием поделятся.
    Гешефт - то ж святое, а у нас бизнес неплохо обустроен.

    но ты бойся, бойся проклятого АНБ - оно ж спит и видит как бы еще и тебя посчитать.

     
     
  • 5.75, Аноним (-), 18:01, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > но ты бойся, бойся проклятого АНБ - оно ж спит и видит как бы еще и тебя посчитать.

    Не сомневайся. Досье на меня у АНБ есть. Административную проверку проходил. Штамп на старой визе имею. Больше визу не дают. Слишком много знаю.

     
     
  • 6.107, товарищ майор (?), 13:09, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    дружище, туда визу не дают не когда много знаешь (это мы бы ее тебе не дали, но, увы, вопрос внедрения выездных виз пока отложен на послевнедрения анального зонда всем без исключения), а когда нахрен там не нужен.

    Мне тоже не дают, приходится предъявлять другой паспорт - если Родина скажет надо - я тебе такой тоже выдам, будешь для служебных надобностей каким-нибудь Боширом Петровым. В whatsup'е зарегистрироваться не забудь, а не как всегда.

     
  • 4.93, Michael Shigorin (ok), 21:38, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Таки смотря за скоко дадут (или возьмут).
     
  • 4.101, InuYasha (?), 22:36, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > В отношении Вайбера, хотя бы, понятно, что никто кроме Моссад, не будет
    > иметь доступ к вашей переписке и списку контактов. Совсем не факт,
    > что они захотят поделиться с АНБ.

    FYI: обе конторы тесно сотрудничают. Особенно с Мишей (МИ-6).

     
  • 3.87, Аноним (87), 20:44, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вайбером тоже не пользуюсь (я тот самый аноним (39) )
     

  • 1.40, Аноним (40), 12:57, 14/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    а столлман предупреждал!
     
  • 1.44, Anonymoustus (ok), 13:23, 14/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Какая интересная уязвимость.

    На чём написано приложение Всосапп, говорите? Википедия сообщает, что «Written in Erlang». Это в котором всё безопасно by design, а потому «…Distributed, Fault-tolerant, Soft real-time, Highly available, non-stop applications, Hot swapping, where code can be changed without stopping a system», а также «…Immutable data, Pattern matching, Functional programming» и прочая, и прочая, и прочая.

    Надо ли понимать новость так, что авторский коллектив, пишущий приложение Всосапп, настолько гениален, что сумел сломать неломаемое?

     
     
  • 2.47, Kott (??), 13:33, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    при чём тут клиент про который новость?

    у них сервер когда-то был на перепиленном ejabberd, что там ныне - хз

     

  • 1.46, Рихад (?), 13:31, 14/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Юзаю на компе через эмулятор андроида BlueStacks. Что интересно, он никогда не предлагал ничего обновить. Ни ühatsapp, ни другую.
     
     
  • 2.55, Аноним (55), 15:07, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Там же нет гугл плея алло куку.
     
  • 2.77, Аноним (77), 19:22, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    "не предлагал ничего обновить"
    И оно еще работает? Старые версии же блочатся периодически. Сейчас вот родные зонды яровой добавили.
     

  • 1.48, Аноним (48), 13:43, 14/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Проблема без лишней огласки была выявлена израильской компанией NSO Group (или у хакерских групп был выкуплен готовый эксплоит)...
    >NSO отвергает причастность к конкретным атакам и заявляет лишь о разработке технологий для спецслужб,

    Не понятно если они разрабатывают по для спецслужб использующею уязвимость, то я думаю им запрещено открывать такого рода уязвимости.

     
     
  • 2.56, Аноним (55), 15:10, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так они её выявили без огласки. Вы таки не были у нас в Одессе.
     
  • 2.96, Меркурий (?), 21:41, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Все спецслужбы имеют доступ на сервер, включая агрегацию сообщений на подозрительные.
     
     
  • 3.104, товарищ майор (?), 23:35, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ничего подобного. На сервер, обслуживающий российских абонентов, мы никого не пускаем. Только если ну очень хорошо попросят.
     

  • 1.54, Аноним (54), 15:02, 14/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Опеннету за деньги нужно начинать привлекать интересных комментаторов к интересным новостям ... 1 из 100 комментов в среднем интересен ...
     
     
  • 2.58, Аноним (58), 15:41, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > 1 из 100 комментов в среднем интересен

    Это один и тот же человек. Если вовсе не скрипт ). Отсюда разбежались все давно из-за инурезников.

     

  • 1.61, Аноним (61), 16:04, 14/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >>> специально оформленной серии пакетов SRTCP (Secure Real-time Transport Protocol).

    Должно быть: Secure Real-time Transport Control Protocol

     
  • 1.62, Аноним (-), 16:04, 14/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Неужели, среди IT-шников, у кого-то были сомнения, что фейсбуковский продукт, с руководителями из АНБ, не будет заниматься слежкой за пользователем?..... Вообще непонятно, как можно держать на своих устройствах какие-либо продукты от Фейсбука....
     
     
  • 2.105, совсемнеаноним (?), 08:06, 15/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Вообще непонятно, как можно держать на своих устройствах какие-либо продукты от Фейсбука....

    Работодатель требует. Спасаемся изоляцией приложений либо отдельными рабочими устройствами.

     

  • 1.65, Аноним (-), 16:13, 14/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >Проблему можно эксплуатировать через отправку на устройство жертвы специально оформленной серии пакетов...
    >WhatsApp было рекомендовано удалить данную возможность и показано, что при проведении fuzzing-проверки отправка подобных сообщений приводит к крахам приложения...

    В Jami (бывший Ring) на Debian с XFCE, каждый раз когда я общаюсь, приложение так вешает ОСь, что помагает только жёсткий ребут. Наверно майор и там поработал.
    У кого нибудь ещё есть такое?
    P.S. И почему перестали выходить новости о Jami? После переименования Ring, потеряли из виду что-ли? Уже несколько обновлений выходило, а что там исправляли неизвестно, на офф сайте тоже не видно.

     
     
  • 2.69, товарищ майор (?), 16:37, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И почему перестали выходить новости о Jami? После переименования Ring, потеряли из виду что-ли?

    Всё в порядке, просто у Максима правильная интуиция, и он не хочет, чтобы его ресурс вдруг оказался заблокирован.
    Не обращай внимания на провокаторов, Максим, пока всё правильно делаешь.

     
     
  • 3.73, Аноним (73), 17:05, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда было бы не плохо продублировать сайт в паралельном интернете.
     
     
  • 4.74, Аноним (73), 17:08, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    только сайт с измененным названием и с полноценными новостями.
     
  • 4.94, анонн (?), 21:39, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Тогда было бы не плохо продублировать сайт в паралельном интернете.

    Неплохо было бы его для начала создать.


     
  • 4.108, пох (?), 13:12, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    в параллельном интернете деньги перпендикулярные - вы и на основной-то сайт три копейки только и подали, а там вообще хрен да нихерна насобираешь.
     
  • 2.90, Гентушник (ok), 21:23, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > приложение так вешает ОСь, что помагает только жёсткий ребут

    Если прям вешает ядро, то проблема в нём, а не в Jami.

     
     
  • 3.111, Аноним (-), 14:06, 18/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Если прям вешает ядро, то проблема в нём, а не в Jami.

    Не думаю. Почему же другие приложения не вешают ядро, а только Jami? При этом зациклено повторяются последние ~2 секунды того, что говорил абонент на том конце.

     
     
  • 4.112, Гентушник (ok), 14:44, 18/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вы правда считаете что если пользовательское приложение (которое даже не под рутом запускается) вешает систему, то виновато приложение, а не ядро/дрова?
    Обязанность ОС - изолировать приложения друг от друга и от самой ОС. Мы же с вами говорим о современных ОС, а не о Windows 3.11 какой-нибудь где одно приложение могло повесить всю систему спокойно.

    > Не думаю. Почему же другие приложения не вешают ядро, а только Jami?

    Потому что на вашей конкретной системе только Jami эксплуатирует этот баг в ядре/дровах?

    Ещё кстати может быть виновато совсем не ядро, а железо. Погоняйте на всякий случай стресс-тесты железа и memtest.

     
  • 2.102, Аноним (102), 22:45, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Уже несколько обновлений выходило, а что там исправляли неизвестно, на офф сайте тоже не видно.

    Если они только цифры меняют и у себя на сайте в новостях не пишут что они сделали. Вы хотите чтобы на opennet за них список изменений писали?

     

  • 1.66, Аноним (66), 16:22, 14/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Фигасе, а я думал вацап сам по себе вредоносное ПО
     
  • 1.79, Онаним (?), 19:37, 14/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Эпичный f*ckapp.
     
  • 1.82, ОнанВарвар (?), 20:19, 14/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот те, бабушка, и юркни в дверь...
    Актуальность изоляции говно-софта как никогда актуальна.
     
     
  • 2.89, минона (?), 21:08, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    То есть вариант не использовать таковой даже не рассматривается?
     
     
  • 3.109, менеджер (?), 13:14, 16/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    еще раз пропустишь мои уведомления в чятике всосапе - наймем другого, не страдающего паранойей!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Fornex
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру