Раскрыты сведения о критической
уязвимости (https://www.facebook.com/security/advisories/cve-2019-3568) (CVE-2019-3568) в мобильном приложении WhatsApp, позволяющей добиться выполнения своего кода через отправку специально оформленного голосового вызова. Для успешной атаки ответ на вредоносный вызов не требуется, достаточно поступления звонка. При этом часто подобный вызов не оседает в логе звонков и атака может остаться незаметной для пользователя.
Уязвимость не связана с протоколом Signal, а вызвана переполнением буфера в специфичном для WhatsApp VoIP-стеке, которое можно эксплуатировать через отправку на устройство жертвы специально оформленной серии пакетов SRTCP. Проблема проявляется в WhatsApp для Android (исправлено в 2.19.134), WhatsApp Business для Android (2.19.44), WhatsApp для iOS (2.19.51), WhatsApp Business для iOS (2.19.51), WhatsApp для Windows Phone (2.18.348) и , WhatsApp для Tizen (2.18.15).В пятницу инженеры приступили к разработке метода защиты, в воскресенье обеспечили блокировку лазейки на уровне серверной инфраструктуры, а в понедельник начали распространение обновления с исправлением клиентского ПО. Пока не ясно сколько устройств были атакованы с использованием уязвимости. Сообщается лишь о не завершившейся успехом попытке компрометации в воскресенье смартфона одного из правозащитников при помощи метода, напоминающего технологию NSO Group, а также о попытке атаки на смартфон сотрудника правозащитной организации Amnesty International.
Проблема выявлена (http://archive.is/kDz13) израильской компанией NSO Group, которая смогла использовать уязвимость для организации установки на смартфоны шпионского ПО для обеспечения слежки правоохранительными органами. Компания NSO заявила, что очень тщательно проверяет клиентов (сотрудничает только с правоохранительными органами и спецслужбами) и расследует все жалобы на злоупотребления. В том числе сейчас инициировано разбирательство, связанное с зафиксированными атаками на WhatsApp.
NSO отвергает причастность к конкретным атакам и заявляет лишь о разработке технологий для спецслужб, но пострадавший правозащитник намерен в суде доказать, что компания разделяет ответственность c клиентами, злоупотребляющими предоставленным им ПО, и продавала свои продукты службам, известным своими нарушениями прав человека.
Компания Facebook инициировала расследование о возможной компрометации устройств и на прошлой неделе в частном порядке поделилась первыми результатами с Министерством юстиции США, а также уведомила о проблеме некоторые правозащитные организации для координации информирования общества (в мире насчитывается около 1.5 млрд установок WhatsApp).
URL: https://arstechnica.com/information-technology/2019/05/whats.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=50679
Вот же дегенераты! Теперь телефон начистую сбрасывать из-за них?
Вам нечего скрывать!
Таки вполне кашерная дырдочка в ПО.
о да, так все говорят, кто топит за проприетарное по.
да это сарказм был про тех, кто топит за "нечего скрывать"
зачем сбрасывать? Можешь его просто выбросить.
Все твои контакты, фоточки, данные gps, истории переписок, звонков и чятиков, теперь надежно хранятся у меня.Поскольку в твоем телефоне очень мало такой ценной информации, к которой ты не разрешил бы доступ всосапу.
И где это они у тебя хранятся, господин мажор?
на серверах Google.
> И где это они у тебя хранятся, господин мажор?Whatsapp бэкап чятиков складывает в gdrive в открытом виде.
Жду хоть один
Нет ли тут антисемизма?
Тут даже гомофобией попахивает.
А.. как она пахнет? o_O
>Уязвимость проявляется в ... , WhatsApp для iOS (2.19.51), WhatsApp Business для iOS (2.19.51)
а теперь читаем первоисточник: "WhatsApp for iOS prior to v2.19.51, WhatsApp Business for iOS prior to v2.19.51".
Ты уже пользуешься вацапом, чего же боле?
пока он им пользовался - данные были только у г-на майора.
А когда МЫ им начали пользоваться - теперь они есть и у нас. Ну и еще у наших израильских коллег, которые, как они справедливо утверждают, сотрудничают с правоохренительными органами.
а когда ты ставил подобные чятики ты на что рассчитывал? на пресловутую приватность?
Вотсапп дырявый, и попенсорс дырявый, но в Вотсаппе хотя бы люди есть
переходи на delta.chat
> Вотсапп дырявыйНу да, он - как ты.
ну уржешся просто. телефон для связи используещь и на что-то там расчитываешь.
Ты небось паспорт не получал и из дома не выходишь с 16 лет, а инетом пользуешься взломанным соседским?
вообще-то хранить записи твоей болтовни с шлюхами - немного дорого и искать там компромат - немного неинтересно.
Поэтому, не смотря на прекрасные законы о заготовке озимых и яровых культур - пока весь процесс налажен соврешенно отвратительно.Вот у тов...э...мистеров из мордокнижки - налажен как надо. Включая перекрестные проверки под угрозой пожизненного бана, это тебе не на узбекский паспорт одноразовую симку купить. (да, есть уклонисты, но их периодически ловят и банят - в том числе и потому что не можешь же ты, Петя Иванов, всем-всем своим друзявкам запретить называть себя по настоящему имени, а не Иваном Петровым, которым ты в мордокнижке зареген - включая, разумеется, записи в адресной книге)
А интернетом можешь пользоваться хоть соседским - все равно мы к тебе придем, а не к соседу.
То ли дело BitMessage, евалившая данные прямиком из пакетов протокола.
Хана ватсаперам
> телефон начистую сбрасыватьДа. С балкона на асфальт. А потом купить кнопочник за 800 р.
Комментировать страшно...
Комментируете с устройства где нет WhatZapp.
заЧтоЦап?
Марк все равно узнает что ты написал.
Каким образом происходила установка шпионского ПО, если для установки какого-либо ПО на телефон нудно явное подтверждение пользователя?
Или все ограничилось работой вредоносного кода в контексте песочницы, в которой работает приложение WhatsApp?
Чукча не читатель, чукча писатель?
В тексте нет ответа
Вы даёте вотсаппу права на сообщения, адресную книгу, микрофон, камеру, геопозицию, и др.
Вредоносный код от имени вотсаппа пользуется предоставленными правами. Разве этого не достаточно?
Если вы про третий с конца абзац, то там нет явной отсылки к уязвимости в ОС, а если пройти по ссылке а том же абзаце - там речь идёт про всю ту же уязвимость в WhatsApp, ответа как устанавливается ПО в систему в статье нет.
>Раскрыты сведения о критической уязвимости (CVE-2019-3568) в мобильном приложении >WhatsApp
> ответа как устанавливается ПО в систему в статье нет.Объясните человеку как установить WhatsApp!! Мучается..
...на Jolla :](не, не мучаюсь, кстати)
У приложения WhatsApp прав достаточно, чтобы снифить сеть, перехватывать звонки и SMS, контролировать содержимое накопителя:Device & app history
retrieve running apps
Identity
find accounts on the device
add or remove accounts
read your own contact card
Contactsfind accounts on the device
> read your contactsmodify your contacts
Location
> approximate location (network-based)
> precise location (GPS and network-based)SMS
> receive text messages (SMS)
send SMS messages
Phone
> read phone status and identity
Photos/Media/Files
> read the contents of your USB storage
modify or delete the contents of your USB storage
Storage
> read the contents of your USB storage
modify or delete the contents of your USB storage
Camera
> take pictures and videos
Microphone
> record audio
Wi-Fi connection information
view Wi-Fi connections
Device ID & call information
read phone status and identity
Other
read sync statistics
receive data from Internet
view network connections
create accounts and set passwords
pair with Bluetooth devices
send sticky broadcast
connect and disconnect from Wi-Fi
> full network accesschange your audio settings
control Near Field Communication
read sync settings
run at startup
use accounts on the device
control vibration
prevent device from sleeping
toggle sync on and off
install shortcuts
uninstall shortcuts
read Google service configuration
> view network connectionscreate accounts and set passwords
pair with Bluetooth devices
send sticky broadcast
connect and disconnect from Wi-Fi
full network access
change your audio settings
control Near Field Communication
read sync settings
run at startup
use accounts on the device
control vibration
prevent device from sleeping
modify system settings
toggle sync on and off
install shortcuts
uninstall shortcuts
read Google service configuration
Это-то понятно (хотя, к тем же смс доступ ему давать совсем не обязательно), но в статье сказано, что уязвимость использовалась "для установки шпионского ПО". Вот я и спрашиваю: как именно эта установка производилась? Через ещё одну уязвимость, теперь уже в ОС?
Вы не поверите, но раньше их троян распространялся через обычные текстовые ссылки с предложением установить программу. И ведь куча людей покупались... Так что подтверждение полномочий не проблема, многие на автомате не думая соглашаются со всеми подобными запросами полномочий. Хранитель экрана с миллионной аудиторией, запрашивающий полный доступ к сети, переписке, микрофону и прочим прелестям, сегодня вполне обычное явление.Получить полный доступ после взлома приложения тоже не сильно сложная задача в условии, что каждый месяц правят десятки критических уязвимостей ( https://source.android.com/security/bulletin/ ), а производители не спешат с выпуском обновлений или через год уже полностью забивают на них.
Одно дело троян. А вот зачем официальному приложению "Погода" от Сяоми разрешение на совершение звонков? Кому прогноз погоды звонить собрался? Китайскому правительству?
Скорее всего для того, чтобы смотреть историю вызовов
> Кому прогноз погоды звонить собрался?Ндшим мегеорологдм. Эго много дешевле чем держдть сервəры и проникдть к ним чер€з великий Китдйсkий фдирвол.
>У приложения WhatsApp прав достаточно, чтобы снифить сетьнасколько я знаю, пользовательские приложения не могут снифить сеть вообще (ни в андроиде, ни в айОС), и это by design. только рутованое устройство может
А теперь вспоминаем, что мы на опеннете и здесь все поголовно ходят исключительно с рутоваными девайсами. Ведь функциональность же и каждую секунду может понадобиться девайс в качестве рабочей станции.
Ты не путай с чпда, где все поголовно ССЗБ. Тут только 95%.
> Ты не путай с чпда, где все поголовно ССЗБ. Тут только 95%.Зато "ждуны апдейтов" конечно же не-ССЗБы.
Как там, BlueBorne и KRACK уже пофиксили или просто высветилось "вашему смарту уже больше года, мы окончательно кладем большой и толстый на поддержку! С неуважением, Ваш вендор!"?
Какая связь между (не)рутованностью и (не)использованием прошивки от вендора?
"Критическая уязвимость в шпионском ПО WhatsApp, пригодная для внедрения другого вредоносного ПО"
Установленных на дрявых девайсах, которые и без того сливают всё, до чего дотянуться
Как все дырки найдут, он тоже станет запрещённым в России? :D
Нет. Технологическое отверстие оставят, мы договорились.
Я почти уверен что проблема в их Erlang овском воип стеке. Но Эрланг тут все любят. Так что виноват явно Цукерберг.
Виноват он в том, что бекдор для майора плохо спрятал.
> Так что виноват явно Цукерберг.Ну если сотрудники за полгода не почесались исправить ошибки, о которых им было сообщено, что они потенциально ведут к уязвимостям, то да, главный начальник тоже виноват. И вообще с такой конторой дел иметь не стоит, хотя последнее и так давно понятно.
Там в otp какой-то воип стек что ли встроили? Интересные новости
> Я почти уверен что проблема в их Erlang овском воип стеке.Эта неуверенность проистекает от неумения пользоваться мозгом для оценки вероятностей гипотез.
> Эрланг тут все любят. Так что виноват явно Цукерберг.
Твоя ошибка, что ты анализируешь гипотезы основываясь на эмоциональном отношении к ним анонимов опеннета. Но эмоциональное отношение анонима опеннета к гипотезе -- будь то твоё, или любого другого анонима -- как правило вообще никак не коррелирует с реальностью. Поэтому его можно смело игнорировать.
Тебе известны какие-нибудь факты об эрлагне, которые говорили бы о том, что voip стек на нём будет более дыряв, чем voip стек на C? Мне нет.
А вот про Цукерберга известно, что тому глубоко положить на людей -- на клиентов, на сотрудников, на всех остальных. Единственное на кого ему не положить -- это на инвесторов, да и на них он кладёт, потому что его доля больше 50%. Единственный оптимизационный параметр, которым он руководствуется при управлении компании -- это количество извлечённых денег. На фоне этого, я не удивлюсь, если вдруг выяснится, что он сам продавал эксплоиты к ватсаппу. То есть, я считаю это маловероятным, но не настолько маловероятным, чтобы удивляться, если вдруг всплывёт, что именно так и было. Более того, если ты сможешь предолжить схему как Цукерберг мог заработать на этом, не подставляясь под потенциальные иски в суд, то я буду абсолютно уверен, что дыра была там преднамеренно.
Но даже если он и не создавал эту дыру намеренно и не продавал эксплоитов, то есть ведь наплевателькое отношение к безопасности -- это не его проблемы: безопасность не приносит ему денег. И есть токсичная корпоративная культура в FB, которая нисколько не способствует тому, чтобы сотрудники работали бы над чем-либо, кроме того что им непосредственно было сказано делать. Есть суровые наказания для сотрудников за попытки вынести сор из избы, есть агрессивный HR, который может уволить в любой момент не объясняя причин, есть режим работы на износ, который приводит к выгоранию к концу первого года работы. Такого рода компания может совершить абсолютно любой косяк.
Происки разработчиков Viber, из одной страны.
>компания разделяет ответственность c клиентами, злоупотребляющими предоставленным им ПОпо той же логике: производители ножей должны разделять ответственность за преступления, совершённые с помощью их продукции
Ножи имеют разнообразное назначение, а у данного ПО оно одно-единственное. И в большинстве стран разработка такого ПО запрещена законом. (Если хочешь продолжить аналогию — точно так же, как и производство определённых видов оружия.)
Конечно, мастер по производству финок тоже сядет
Ура, я WhatsApp'ом не пользуюсь.
Продолжай пользоваться вибером, в нём дыры пока эксплуатируют, не палясь.
В отношении Вайбера, хотя бы, понятно, что никто кроме Моссад, не будет иметь доступ к вашей переписке и списку контактов. Совсем не факт, что они захотят поделиться с АНБ.
Наивное дитя: верит, что случайных дыр не бывает, а бывают только бекдоры. Хотя, казалось бы, сабж наглядно демонстрирует обратное.
вообще-то они и со мной с превеликим удовольствием поделятся.
Гешефт - то ж святое, а у нас бизнес неплохо обустроен.но ты бойся, бойся проклятого АНБ - оно ж спит и видит как бы еще и тебя посчитать.
> но ты бойся, бойся проклятого АНБ - оно ж спит и видит как бы еще и тебя посчитать.Не сомневайся. Досье на меня у АНБ есть. Административную проверку проходил. Штамп на старой визе имею. Больше визу не дают. Слишком много знаю.
дружище, туда визу не дают не когда много знаешь (это мы бы ее тебе не дали, но, увы, вопрос внедрения выездных виз пока отложен на послевнедрения анального зонда всем без исключения), а когда нахрен там не нужен.Мне тоже не дают, приходится предъявлять другой паспорт - если Родина скажет надо - я тебе такой тоже выдам, будешь для служебных надобностей каким-нибудь Боширом Петровым. В whatsup'е зарегистрироваться не забудь, а не как всегда.
Таки смотря за скоко дадут (или возьмут).
> В отношении Вайбера, хотя бы, понятно, что никто кроме Моссад, не будет
> иметь доступ к вашей переписке и списку контактов. Совсем не факт,
> что они захотят поделиться с АНБ.FYI: обе конторы тесно сотрудничают. Особенно с Мишей (МИ-6).
Вайбером тоже не пользуюсь (я тот самый аноним (39) )
а столлман предупреждал!
Какая интересная уязвимость.На чём написано приложение Всосапп, говорите? Википедия сообщает, что «Written in Erlang». Это в котором всё безопасно by design, а потому «…Distributed, Fault-tolerant, Soft real-time, Highly available, non-stop applications, Hot swapping, where code can be changed without stopping a system», а также «…Immutable data, Pattern matching, Functional programming» и прочая, и прочая, и прочая.
Надо ли понимать новость так, что авторский коллектив, пишущий приложение Всосапп, настолько гениален, что сумел сломать неломаемое?
при чём тут клиент про который новость?у них сервер когда-то был на перепиленном ejabberd, что там ныне - хз
Юзаю на компе через эмулятор андроида BlueStacks. Что интересно, он никогда не предлагал ничего обновить. Ни ühatsapp, ни другую.
Там же нет гугл плея алло куку.
"не предлагал ничего обновить"
И оно еще работает? Старые версии же блочатся периодически. Сейчас вот родные зонды яровой добавили.
>Проблема без лишней огласки была выявлена израильской компанией NSO Group (или у хакерских групп был выкуплен готовый эксплоит)...
>NSO отвергает причастность к конкретным атакам и заявляет лишь о разработке технологий для спецслужб,Не понятно если они разрабатывают по для спецслужб использующею уязвимость, то я думаю им запрещено открывать такого рода уязвимости.
Так они её выявили без огласки. Вы таки не были у нас в Одессе.
Все спецслужбы имеют доступ на сервер, включая агрегацию сообщений на подозрительные.
Ничего подобного. На сервер, обслуживающий российских абонентов, мы никого не пускаем. Только если ну очень хорошо попросят.
Опеннету за деньги нужно начинать привлекать интересных комментаторов к интересным новостям ... 1 из 100 комментов в среднем интересен ...
> 1 из 100 комментов в среднем интересенЭто один и тот же человек. Если вовсе не скрипт ). Отсюда разбежались все давно из-за инурезников.
>>> специально оформленной серии пакетов SRTCP (Secure Real-time Transport Protocol).Должно быть: Secure Real-time Transport Control Protocol
Неужели, среди IT-шников, у кого-то были сомнения, что фейсбуковский продукт, с руководителями из АНБ, не будет заниматься слежкой за пользователем?..... Вообще непонятно, как можно держать на своих устройствах какие-либо продукты от Фейсбука....
> Вообще непонятно, как можно держать на своих устройствах какие-либо продукты от Фейсбука....Работодатель требует. Спасаемся изоляцией приложений либо отдельными рабочими устройствами.
>Проблему можно эксплуатировать через отправку на устройство жертвы специально оформленной серии пакетов...
>WhatsApp было рекомендовано удалить данную возможность и показано, что при проведении fuzzing-проверки отправка подобных сообщений приводит к крахам приложения...В Jami (бывший Ring) на Debian с XFCE, каждый раз когда я общаюсь, приложение так вешает ОСь, что помагает только жёсткий ребут. Наверно майор и там поработал.
У кого нибудь ещё есть такое?
P.S. И почему перестали выходить новости о Jami? После переименования Ring, потеряли из виду что-ли? Уже несколько обновлений выходило, а что там исправляли неизвестно, на офф сайте тоже не видно.
> И почему перестали выходить новости о Jami? После переименования Ring, потеряли из виду что-ли?Всё в порядке, просто у Максима правильная интуиция, и он не хочет, чтобы его ресурс вдруг оказался заблокирован.
Не обращай внимания на провокаторов, Максим, пока всё правильно делаешь.
Тогда было бы не плохо продублировать сайт в паралельном интернете.
только сайт с измененным названием и с полноценными новостями.
> Тогда было бы не плохо продублировать сайт в паралельном интернете.Неплохо было бы его для начала создать.
в параллельном интернете деньги перпендикулярные - вы и на основной-то сайт три копейки только и подали, а там вообще хрен да нихерна насобираешь.
> приложение так вешает ОСь, что помагает только жёсткий ребутЕсли прям вешает ядро, то проблема в нём, а не в Jami.
> Если прям вешает ядро, то проблема в нём, а не в Jami.Не думаю. Почему же другие приложения не вешают ядро, а только Jami? При этом зациклено повторяются последние ~2 секунды того, что говорил абонент на том конце.
Вы правда считаете что если пользовательское приложение (которое даже не под рутом запускается) вешает систему, то виновато приложение, а не ядро/дрова?
Обязанность ОС - изолировать приложения друг от друга и от самой ОС. Мы же с вами говорим о современных ОС, а не о Windows 3.11 какой-нибудь где одно приложение могло повесить всю систему спокойно.> Не думаю. Почему же другие приложения не вешают ядро, а только Jami?
Потому что на вашей конкретной системе только Jami эксплуатирует этот баг в ядре/дровах?
Ещё кстати может быть виновато совсем не ядро, а железо. Погоняйте на всякий случай стресс-тесты железа и memtest.
>Уже несколько обновлений выходило, а что там исправляли неизвестно, на офф сайте тоже не видно.Если они только цифры меняют и у себя на сайте в новостях не пишут что они сделали. Вы хотите чтобы на opennet за них список изменений писали?
Фигасе, а я думал вацап сам по себе вредоносное ПО
Эпичный f*ckapp.
Вот те, бабушка, и юркни в дверь...
Актуальность изоляции говно-софта как никогда актуальна.
То есть вариант не использовать таковой даже не рассматривается?
еще раз пропустишь мои уведомления в чятике всосапе - наймем другого, не страдающего паранойей!
😵