The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Критическая уязвимость в приложении WhatsApp, пригодная для ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от opennews (ok), 14-Май-19, 10:36 
Раскрыты сведения о критической
уязвимости (https://www.facebook.com/security/advisories/cve-2019-3568) (CVE-2019-3568) в мобильном приложении WhatsApp, позволяющей добиться выполнения своего кода через отправку специально оформленного голосового вызова. Для успешной атаки ответ на вредоносный вызов не требуется, достаточно поступления звонка. При этом  часто подобный вызов не оседает в логе звонков и атака может остаться незаметной для пользователя.


Уязвимость не связана с протоколом Signal, а вызвана переполнением буфера в специфичном для WhatsApp VoIP-стеке, которое можно эксплуатировать через отправку на устройство жертвы специально оформленной серии пакетов SRTCP. Проблема проявляется в WhatsApp для Android (исправлено в 2.19.134), WhatsApp Business для Android (2.19.44), WhatsApp для iOS  (2.19.51), WhatsApp Business для iOS (2.19.51), WhatsApp для Windows Phone (2.18.348) и , WhatsApp для Tizen (2.18.15).

В пятницу  инженеры приступили к разработке метода защиты, в воскресенье обеспечили блокировку лазейки на уровне серверной инфраструктуры, а в понедельник начали распространение  обновления с исправлением клиентского ПО. Пока не ясно сколько устройств были атакованы с использованием уязвимости. Сообщается лишь о не завершившейся успехом попытке компрометации в воскресенье смартфона одного из правозащитников при помощи метода, напоминающего технологию NSO Group, а также о попытке атаки на смартфон сотрудника правозащитной организации Amnesty International.

Проблема выявлена (http://archive.is/kDz13) израильской компанией NSO Group, которая смогла  использовать уязвимость для организации установки на смартфоны шпионского ПО для обеспечения слежки правоохранительными органами. Компания NSO заявила, что очень тщательно проверяет клиентов (сотрудничает только с правоохранительными органами и спецслужбами) и расследует все жалобы на злоупотребления. В том числе сейчас инициировано разбирательство, связанное с зафиксированными атаками на WhatsApp.


NSO отвергает причастность  к конкретным атакам и заявляет лишь о разработке технологий для спецслужб, но пострадавший правозащитник намерен в суде доказать, что компания разделяет ответственность c клиентами, злоупотребляющими предоставленным им ПО, и продавала свои продукты службам, известным своими нарушениями прав человека.


Компания Facebook  инициировала расследование о возможной компрометации устройств и на прошлой неделе в частном порядке поделилась первыми результатами с Министерством юстиции США, а также уведомила о проблеме некоторые правозащитные организации для координации информирования общества (в мире насчитывается около 1.5 млрд установок WhatsApp).


URL: https://arstechnica.com/information-technology/2019/05/whats.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=50679

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –7 +/
Сообщение от Fracta1L (ok), 14-Май-19, 10:36 
Вот же дегенераты! Теперь телефон начистую сбрасывать из-за них?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +45 +/
Сообщение от Онанимус (?), 14-Май-19, 10:49 
Вам нечего скрывать!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Аноним (11), 14-Май-19, 11:24 
Таки вполне кашерная дырдочка в ПО.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

50. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –4 +/
Сообщение от Егоркий (?), 14-Май-19, 13:49 
о да, так все говорят, кто топит за проприетарное по.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

78. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от хотел спросить (?), 14-Май-19, 19:36 
да это сарказм был про тех, кто топит за "нечего скрывать"
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

7. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +21 +/
Сообщение от товарищ майор (?), 14-Май-19, 11:18 
зачем сбрасывать? Можешь его просто выбросить.
Все твои контакты, фоточки, данные gps, истории переписок, звонков и чятиков, теперь надежно хранятся у меня.

Поскольку в твоем телефоне очень мало такой ценной информации, к которой ты не разрешил бы доступ всосапу.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

15. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –3 +/
Сообщение от нах (?), 14-Май-19, 11:28 
И где это они у тебя хранятся, господин мажор?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

52. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +6 +/
Сообщение от X86 (ok), 14-Май-19, 14:04 
на серверах Google.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

106. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от agent_007 (ok), 15-Май-19, 14:42 
> И где это они у тебя хранятся, господин мажор?

Whatsapp бэкап чятиков складывает в gdrive в открытом виде.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

31. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –1 +/
Сообщение от Дыщь (?), 14-Май-19, 12:11 
Жду хоть один
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –2 +/
Сообщение от Аноним (11), 14-Май-19, 11:24 
Нет ли тут антисемизма?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

19. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +4 +/
Сообщение от Аноним (19), 14-Май-19, 11:37 
Тут даже гомофобией попахивает.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

20. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +5 +/
Сообщение от InuYasha (?), 14-Май-19, 11:45 
А.. как она пахнет? o_O
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

30. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +6 +/
Сообщение от Аноним (19), 14-Май-19, 11:54 
>Уязвимость проявляется в ... , WhatsApp для iOS (2.19.51), WhatsApp Business для iOS (2.19.51)
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

60. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –1 +/
Сообщение от й (?), 14-Май-19, 16:01 
а теперь читаем первоисточник: "WhatsApp for iOS prior to v2.19.51, WhatsApp Business for iOS prior to v2.19.51".
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

12. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +8 +/
Сообщение от Анонимус Вульгарис (?), 14-Май-19, 11:26 
Ты уже пользуешься вацапом, чего же боле?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

24. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от товарищ майор (?), 14-Май-19, 11:48 
пока он им пользовался - данные были только у г-на майора.
А когда МЫ им начали пользоваться - теперь они есть и у нас. Ну и еще у наших израильских коллег, которые, как они справедливо утверждают, сотрудничают с правоохренительными органами.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

13. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +5 +/
Сообщение от конь в пальто (?), 14-Май-19, 11:26 
а когда ты ставил подобные чятики ты на что рассчитывал? на пресловутую приватность?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

37. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –21 +/
Сообщение от Fracta1L (ok), 14-Май-19, 12:35 
Вотсапп дырявый, и попенсорс дырявый, но в Вотсаппе хотя бы люди есть
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

91. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –1 +/
Сообщение от Dmitry77 (ok), 14-Май-19, 21:36 
переходи на delta.chat
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

98. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +6 +/
Сообщение от Led (ok), 14-Май-19, 21:58 
> Вотсапп дырявый

Ну да, он - как ты.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

38. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –2 +/
Сообщение от Аноним (38), 14-Май-19, 12:45 
ну уржешся просто. телефон для связи используещь и на что-то там расчитываешь.
Ты небось паспорт не получал и из дома не выходишь с 16 лет, а инетом пользуешься взломанным соседским?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

41. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –1 +/
Сообщение от товарищ майор (?), 14-Май-19, 13:07 
вообще-то хранить записи твоей болтовни с шлюхами - немного дорого и искать там компромат - немного неинтересно.
Поэтому, не смотря на прекрасные законы о заготовке озимых и яровых культур - пока весь процесс налажен соврешенно отвратительно.

Вот у тов...э...мистеров из мордокнижки - налажен как надо. Включая перекрестные проверки под угрозой пожизненного бана, это тебе не на узбекский паспорт одноразовую симку купить. (да, есть уклонисты, но их периодически ловят и банят - в том числе и потому что не можешь же ты, Петя Иванов, всем-всем своим друзявкам запретить называть себя по настоящему имени, а не Иваном Петровым, которым ты в мордокнижке зареген - включая, разумеется, записи в адресной книге)

А интернетом можешь пользоваться хоть соседским - все равно мы к тебе придем, а не к соседу.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

83. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Аноним (83), 14-Май-19, 20:26 
То ли дело BitMessage, евалившая данные прямиком из пакетов протокола.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

100. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Crazyclimber (?), 14-Май-19, 22:16 
Хана ватсаперам
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

113. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Аноним (113), 20-Май-19, 11:09 
> телефон начистую сбрасывать

Да. С балкона на асфальт. А потом купить кнопочник за 800 р.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +5 +/
Сообщение от Аноним (-), 14-Май-19, 10:38 
Комментировать страшно...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Аноним (11), 14-Май-19, 11:31 
Комментируете с устройства где нет WhatZapp.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

23. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +3 +/
Сообщение от Аноним (19), 14-Май-19, 11:48 
заЧтоЦап?
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

25. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Аноним (25), 14-Май-19, 11:49 
Марк все равно узнает что ты написал.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

4. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –3 +/
Сообщение от Анонимус154 (?), 14-Май-19, 10:50 
Каким образом происходила установка шпионского ПО, если для установки какого-либо ПО на телефон нудно явное подтверждение пользователя?
Или все ограничилось работой вредоносного кода в контексте песочницы, в которой работает приложение WhatsApp?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +1 +/
Сообщение от Dapredator (?), 14-Май-19, 10:56 
Чукча не читатель, чукча писатель?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Анонимус154 (?), 14-Май-19, 11:12 
В тексте нет ответа
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

85. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +1 +/
Сообщение от Аноним (85), 14-Май-19, 20:36 
Вы даёте вотсаппу права на сообщения, адресную книгу, микрофон, камеру, геопозицию, и др.
Вредоносный код от имени вотсаппа пользуется предоставленными правами. Разве этого не достаточно?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –4 +/
Сообщение от Анонимус154 (?), 14-Май-19, 11:21 
Если вы про третий с конца абзац, то там нет явной отсылки к уязвимости в ОС, а если пройти по ссылке а том же абзаце - там речь идёт про всю ту же уязвимость в WhatsApp, ответа как устанавливается ПО в систему в статье нет.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

64. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +3 +/
Сообщение от Анонимemail (64), 14-Май-19, 16:09 
>Раскрыты сведения о критической уязвимости (CVE-2019-3568) в мобильном приложении >WhatsApp
> ответа как устанавливается ПО в систему в статье нет.

Объясните человеку как установить WhatsApp!! Мучается..

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

92. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –2 +/
Сообщение от Michael Shigorinemail (ok), 14-Май-19, 21:36 
...на Jolla :]

(не, не мучаюсь, кстати)

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

8. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +4 +/
Сообщение от Аноним (8), 14-Май-19, 11:20 
У приложения WhatsApp прав достаточно, чтобы снифить сеть, перехватывать звонки и SMS, контролировать содержимое накопителя:

Device & app history

    retrieve running apps

Identity

    find accounts on the device
    add or remove accounts
    read your own contact card


Contacts

    find accounts on the device
>    read your contacts

    modify your contacts

Location

>    approximate location (network-based)
>    precise location (GPS and network-based)

SMS

>    receive text messages (SMS)

    send SMS messages

Phone

>    read phone status and identity

Photos/Media/Files

>    read the contents of your USB storage

    modify or delete the contents of your USB storage

Storage

>    read the contents of your USB storage

    modify or delete the contents of your USB storage

Camera

>    take pictures and videos

Microphone

>    record audio

Wi-Fi connection information

    view Wi-Fi connections

Device ID & call information

    read phone status and identity

Other

    read sync statistics
    receive data from Internet
    view network connections
    create accounts and set passwords
    pair with Bluetooth devices
    send sticky broadcast
    connect and disconnect from Wi-Fi
>    full network access

    change your audio settings
    control Near Field Communication
    read sync settings
    run at startup
    use accounts on the device
    control vibration
    prevent device from sleeping
    toggle sync on and off
    install shortcuts
    uninstall shortcuts
    read Google service configuration
>    view network connections

    create accounts and set passwords
    pair with Bluetooth devices
    send sticky broadcast
    connect and disconnect from Wi-Fi
    full network access
    change your audio settings
    control Near Field Communication
    read sync settings
    run at startup
    use accounts on the device
    control vibration
    prevent device from sleeping
    modify system settings
    toggle sync on and off
    install shortcuts
    uninstall shortcuts
    read Google service configuration

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

14. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –1 +/
Сообщение от Анонимус154 (?), 14-Май-19, 11:27 
Это-то понятно (хотя, к тем же смс доступ ему давать совсем не обязательно), но в статье сказано, что уязвимость использовалась "для установки шпионского ПО". Вот я и спрашиваю: как именно эта установка производилась? Через ещё одну уязвимость, теперь уже в ОС?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

26. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Аноним (26), 14-Май-19, 11:49 
Вы не поверите, но раньше их троян распространялся через обычные текстовые ссылки с предложением установить программу. И ведь куча людей покупались... Так что подтверждение полномочий не проблема, многие на автомате не думая соглашаются со всеми подобными запросами полномочий. Хранитель экрана с миллионной аудиторией, запрашивающий полный доступ к сети, переписке, микрофону и прочим прелестям, сегодня вполне обычное явление.

Получить полный доступ после взлома приложения тоже не сильно сложная задача в условии, что каждый месяц правят десятки критических уязвимостей ( https://source.android.com/security/bulletin/ ), а производители не спешат с выпуском обновлений или через год уже полностью забивают на них.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

59. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –1 +/
Сообщение от Аноним (59), 14-Май-19, 15:46 
Одно дело троян. А вот зачем официальному приложению "Погода" от Сяоми разрешение на совершение звонков? Кому прогноз погоды звонить собрался? Китайскому правительству?
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

86. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +1 +/
Сообщение от Аноним (85), 14-Май-19, 20:41 
Скорее всего для того, чтобы смотреть историю вызовов
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

88. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Ляо Бяо Мя (?), 14-Май-19, 21:05 
> Кому прогноз погоды звонить собрался?

Ндшим мегеорологдм. Эго много дешевле чем держдть сервəры и проникдть к ним чер€з великий Китдйсkий фдирвол.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

34. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +2 +/
Сообщение от Нанобот (ok), 14-Май-19, 12:27 
>У приложения WhatsApp прав достаточно, чтобы снифить сеть

насколько я знаю, пользовательские приложения не могут снифить сеть вообще (ни в андроиде, ни в айОС), и это by design. только рутованое устройство может

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

49. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –3 +/
Сообщение от НяшМяш (ok), 14-Май-19, 13:45 
А теперь вспоминаем, что мы на опеннете и здесь все поголовно ходят исключительно с рутоваными девайсами. Ведь функциональность же и каждую секунду может понадобиться девайс в качестве рабочей станции.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

67. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Аноним (67), 14-Май-19, 16:26 
Ты не путай с чпда, где все поголовно ССЗБ. Тут только 95%.
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

97. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +1 +/
Сообщение от Аноним84701 (ok), 14-Май-19, 21:49 
> Ты не путай с чпда, где все поголовно ССЗБ. Тут только 95%.

Зато "ждуны апдейтов" конечно же не-ССЗБы.
Как там, BlueBorne и KRACK уже пофиксили или просто высветилось "вашему смарту уже больше года, мы окончательно кладем большой и толстый на поддержку! С неуважением, Ваш вендор!"?

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

103. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Аноним (103), 14-Май-19, 23:30 
Какая связь между (не)рутованностью и (не)использованием прошивки от вендора?
Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

16. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +19 +/
Сообщение от Аноним (19), 14-Май-19, 11:30 
"Критическая уязвимость в шпионском ПО WhatsApp, пригодная для внедрения другого вредоносного ПО"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

53. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –1 +/
Сообщение от Аноним (53), 14-Май-19, 14:28 
Установленных на дрявых девайсах, которые и без того сливают всё, до чего дотянуться
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

21. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +1 +/
Сообщение от InuYasha (?), 14-Май-19, 11:47 
Как все дырки найдут, он тоже станет запрещённым в России? :D
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +1 +/
Сообщение от товарищ майор (?), 14-Май-19, 12:26 
Нет. Технологическое отверстие оставят, мы договорились.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

22. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –6 +/
Сообщение от Аноним (25), 14-Май-19, 11:48 
Я почти уверен что проблема в их Erlang овском воип стеке. Но Эрланг тут все любят. Так что виноват явно Цукерберг.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +3 +/
Сообщение от Аноним (19), 14-Май-19, 11:51 
Виноват он в том, что бекдор для майора плохо спрятал.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

35. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +2 +/
Сообщение от товарищ майор (?), 14-Май-19, 12:32 
> Так что виноват явно Цукерберг.

Ну если сотрудники за полгода не почесались исправить ошибки, о которых им было сообщено, что они потенциально ведут к уязвимостям, то да, главный начальник тоже виноват. И вообще с такой конторой дел иметь не стоит, хотя последнее и так давно понятно.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

43. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Аноним (43), 14-Май-19, 13:16 
Там в otp какой-то воип стек что ли встроили? Интересные новости
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

57. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +2 +/
Сообщение от Ordu (ok), 14-Май-19, 15:26 
> Я почти уверен что проблема в их Erlang овском воип стеке.

Эта неуверенность проистекает от неумения пользоваться мозгом для оценки вероятностей гипотез.

> Эрланг тут все любят. Так что виноват явно Цукерберг.

Твоя ошибка, что ты анализируешь гипотезы основываясь на эмоциональном отношении к ним анонимов опеннета. Но эмоциональное отношение анонима опеннета к гипотезе -- будь то твоё, или любого другого анонима -- как правило вообще никак не коррелирует с реальностью. Поэтому его можно смело игнорировать.

Тебе известны какие-нибудь факты об эрлагне, которые говорили бы о том, что voip стек на нём будет более дыряв, чем voip стек на C? Мне нет.

А вот про Цукерберга известно, что тому глубоко положить на людей -- на клиентов, на сотрудников, на всех остальных. Единственное на кого ему не положить -- это на инвесторов, да и на них он кладёт, потому что его доля больше 50%. Единственный оптимизационный параметр, которым он руководствуется при управлении компании -- это количество извлечённых денег. На фоне этого, я не удивлюсь, если вдруг выяснится, что он сам продавал эксплоиты к ватсаппу. То есть, я считаю это маловероятным, но не настолько маловероятным, чтобы удивляться, если вдруг всплывёт, что именно так и было. Более того, если ты сможешь предолжить схему как Цукерберг мог заработать на этом, не подставляясь под потенциальные иски в суд, то я буду абсолютно уверен, что дыра была там преднамеренно.

Но даже если он и не создавал эту дыру намеренно и не продавал эксплоитов, то есть ведь наплевателькое отношение к безопасности -- это не его проблемы: безопасность не приносит ему денег. И есть токсичная корпоративная культура в FB, которая нисколько не способствует тому, чтобы сотрудники работали бы над чем-либо, кроме того что им непосредственно было сказано делать. Есть суровые наказания для сотрудников за попытки вынести сор из избы, есть агрессивный HR, который может уволить в любой момент не объясняя причин, есть режим работы на износ, который приводит к выгоранию к концу первого года работы. Такого рода компания может совершить абсолютно любой косяк.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

29. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –1 +/
Сообщение от анон (?), 14-Май-19, 11:53 
Происки разработчиков Viber, из одной страны.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –3 +/
Сообщение от Нанобот (ok), 14-Май-19, 12:15 
>компания разделяет ответственность c клиентами, злоупотребляющими предоставленным им ПО

по той же логике: производители ножей должны разделять ответственность за преступления, совершённые с помощью их продукции

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +2 +/
Сообщение от Аноним (67), 14-Май-19, 12:35 
Ножи имеют разнообразное назначение, а у данного ПО оно одно-единственное. И в большинстве стран разработка такого ПО запрещена законом. (Если хочешь продолжить аналогию — точно так же, как и производство определённых видов оружия.)
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

51. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +1 +/
Сообщение от fi2fi (?), 14-Май-19, 14:01 
Конечно, мастер по производству финок тоже сядет
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

39. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Аноним (39), 14-Май-19, 12:47 
Ура, я WhatsApp'ом не пользуюсь.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +1 +/
Сообщение от Аноним (67), 14-Май-19, 13:29 
Продолжай пользоваться вибером, в нём дыры пока эксплуатируют, не палясь.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

63. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –7 +/
Сообщение от Аноним (-), 14-Май-19, 16:06 
В отношении Вайбера, хотя бы, понятно, что никто кроме Моссад, не будет иметь доступ к вашей переписке и списку контактов. Совсем не факт, что они захотят поделиться с АНБ.
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

68. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –1 +/
Сообщение от Аноним (67), 14-Май-19, 16:31 
Наивное дитя: верит, что случайных дыр не бывает, а бывают только бекдоры. Хотя, казалось бы, сабж наглядно демонстрирует обратное.
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

72. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +1 +/
Сообщение от товарищ майор (?), 14-Май-19, 17:01 
вообще-то они и со мной с превеликим удовольствием поделятся.
Гешефт - то ж святое, а у нас бизнес неплохо обустроен.

но ты бойся, бойся проклятого АНБ - оно ж спит и видит как бы еще и тебя посчитать.

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

75. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +2 +/
Сообщение от Аноним (-), 14-Май-19, 18:01 
> но ты бойся, бойся проклятого АНБ - оно ж спит и видит как бы еще и тебя посчитать.

Не сомневайся. Досье на меня у АНБ есть. Административную проверку проходил. Штамп на старой визе имею. Больше визу не дают. Слишком много знаю.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

107. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –1 +/
Сообщение от товарищ майор (?), 16-Май-19, 13:09 
дружище, туда визу не дают не когда много знаешь (это мы бы ее тебе не дали, но, увы, вопрос внедрения выездных виз пока отложен на послевнедрения анального зонда всем без исключения), а когда нахрен там не нужен.

Мне тоже не дают, приходится предъявлять другой паспорт - если Родина скажет надо - я тебе такой тоже выдам, будешь для служебных надобностей каким-нибудь Боширом Петровым. В whatsup'е зарегистрироваться не забудь, а не как всегда.

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

93. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Michael Shigorinemail (ok), 14-Май-19, 21:38 
Таки смотря за скоко дадут (или возьмут).
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

101. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от InuYasha (?), 14-Май-19, 22:36 
> В отношении Вайбера, хотя бы, понятно, что никто кроме Моссад, не будет
> иметь доступ к вашей переписке и списку контактов. Совсем не факт,
> что они захотят поделиться с АНБ.

FYI: обе конторы тесно сотрудничают. Особенно с Мишей (МИ-6).

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

87. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Аноним (87), 14-Май-19, 20:44 
Вайбером тоже не пользуюсь (я тот самый аноним (39) )
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

40. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +6 +/
Сообщение от Аноним (40), 14-Май-19, 12:57 
а столлман предупреждал!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

44. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –1 +/
Сообщение от Anonymoustus (ok), 14-Май-19, 13:23 
Какая интересная уязвимость.

На чём написано приложение Всосапп, говорите? Википедия сообщает, что «Written in Erlang». Это в котором всё безопасно by design, а потому «…Distributed, Fault-tolerant, Soft real-time, Highly available, non-stop applications, Hot swapping, where code can be changed without stopping a system», а также «…Immutable data, Pattern matching, Functional programming» и прочая, и прочая, и прочая.

Надо ли понимать новость так, что авторский коллектив, пишущий приложение Всосапп, настолько гениален, что сумел сломать неломаемое?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +3 +/
Сообщение от Kott (??), 14-Май-19, 13:33 
при чём тут клиент про который новость?

у них сервер когда-то был на перепиленном ejabberd, что там ныне - хз

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

46. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –1 +/
Сообщение от Рихад (?), 14-Май-19, 13:31 
Юзаю на компе через эмулятор андроида BlueStacks. Что интересно, он никогда не предлагал ничего обновить. Ни ühatsapp, ни другую.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

55. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +3 +/
Сообщение от Аноним (55), 14-Май-19, 15:07 
Там же нет гугл плея алло куку.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

77. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Аноним (77), 14-Май-19, 19:22 
"не предлагал ничего обновить"
И оно еще работает? Старые версии же блочатся периодически. Сейчас вот родные зонды яровой добавили.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

48. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Аноним (48), 14-Май-19, 13:43 
>Проблема без лишней огласки была выявлена израильской компанией NSO Group (или у хакерских групп был выкуплен готовый эксплоит)...
>NSO отвергает причастность к конкретным атакам и заявляет лишь о разработке технологий для спецслужб,

Не понятно если они разрабатывают по для спецслужб использующею уязвимость, то я думаю им запрещено открывать такого рода уязвимости.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

56. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +1 +/
Сообщение от Аноним (55), 14-Май-19, 15:10 
Так они её выявили без огласки. Вы таки не были у нас в Одессе.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

96. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Меркурий (?), 14-Май-19, 21:41 
Все спецслужбы имеют доступ на сервер, включая агрегацию сообщений на подозрительные.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

104. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +1 +/
Сообщение от товарищ майор (?), 14-Май-19, 23:35 
Ничего подобного. На сервер, обслуживающий российских абонентов, мы никого не пускаем. Только если ну очень хорошо попросят.
Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

54. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +1 +/
Сообщение от Аноним (54), 14-Май-19, 15:02 
Опеннету за деньги нужно начинать привлекать интересных комментаторов к интересным новостям ... 1 из 100 комментов в среднем интересен ...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

58. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Аноним (58), 14-Май-19, 15:41 
> 1 из 100 комментов в среднем интересен

Это один и тот же человек. Если вовсе не скрипт ). Отсюда разбежались все давно из-за инурезников.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

61. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +1 +/
Сообщение от Аноним (61), 14-Май-19, 16:04 
>>> специально оформленной серии пакетов SRTCP (Secure Real-time Transport Protocol).

Должно быть: Secure Real-time Transport Control Protocol

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

62. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Аноним (-), 14-Май-19, 16:04 
Неужели, среди IT-шников, у кого-то были сомнения, что фейсбуковский продукт, с руководителями из АНБ, не будет заниматься слежкой за пользователем?..... Вообще непонятно, как можно держать на своих устройствах какие-либо продукты от Фейсбука....
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

105. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от совсемнеаноним (?), 15-Май-19, 08:06 
> Вообще непонятно, как можно держать на своих устройствах какие-либо продукты от Фейсбука....

Работодатель требует. Спасаемся изоляцией приложений либо отдельными рабочими устройствами.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

65. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –1 +/
Сообщение от Аноним (-), 14-Май-19, 16:13 
>Проблему можно эксплуатировать через отправку на устройство жертвы специально оформленной серии пакетов...
>WhatsApp было рекомендовано удалить данную возможность и показано, что при проведении fuzzing-проверки отправка подобных сообщений приводит к крахам приложения...

В Jami (бывший Ring) на Debian с XFCE, каждый раз когда я общаюсь, приложение так вешает ОСь, что помагает только жёсткий ребут. Наверно майор и там поработал.
У кого нибудь ещё есть такое?
P.S. И почему перестали выходить новости о Jami? После переименования Ring, потеряли из виду что-ли? Уже несколько обновлений выходило, а что там исправляли неизвестно, на офф сайте тоже не видно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

69. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +1 +/
Сообщение от товарищ майор (?), 14-Май-19, 16:37 
> И почему перестали выходить новости о Jami? После переименования Ring, потеряли из виду что-ли?

Всё в порядке, просто у Максима правильная интуиция, и он не хочет, чтобы его ресурс вдруг оказался заблокирован.
Не обращай внимания на провокаторов, Максим, пока всё правильно делаешь.

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

73. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Аноним (73), 14-Май-19, 17:05 
Тогда было бы не плохо продублировать сайт в паралельном интернете.
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

74. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Аноним (73), 14-Май-19, 17:08 
только сайт с измененным названием и с полноценными новостями.
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

94. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от анонн (?), 14-Май-19, 21:39 
> Тогда было бы не плохо продублировать сайт в паралельном интернете.

Неплохо было бы его для начала создать.


Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

108. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от пох (?), 16-Май-19, 13:12 
в параллельном интернете деньги перпендикулярные - вы и на основной-то сайт три копейки только и подали, а там вообще хрен да нихерна насобираешь.
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

90. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Гентушник (ok), 14-Май-19, 21:23 
> приложение так вешает ОСь, что помагает только жёсткий ребут

Если прям вешает ядро, то проблема в нём, а не в Jami.

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

111. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Аноним (-), 18-Май-19, 14:06 
> Если прям вешает ядро, то проблема в нём, а не в Jami.

Не думаю. Почему же другие приложения не вешают ядро, а только Jami? При этом зациклено повторяются последние ~2 секунды того, что говорил абонент на том конце.

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

112. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Гентушник (ok), 18-Май-19, 14:44 
Вы правда считаете что если пользовательское приложение (которое даже не под рутом запускается) вешает систему, то виновато приложение, а не ядро/дрова?
Обязанность ОС - изолировать приложения друг от друга и от самой ОС. Мы же с вами говорим о современных ОС, а не о Windows 3.11 какой-нибудь где одно приложение могло повесить всю систему спокойно.

> Не думаю. Почему же другие приложения не вешают ядро, а только Jami?

Потому что на вашей конкретной системе только Jami эксплуатирует этот баг в ядре/дровах?

Ещё кстати может быть виновато совсем не ядро, а железо. Погоняйте на всякий случай стресс-тесты железа и memtest.

Ответить | Правка | ^ к родителю #111 | Наверх | Cообщить модератору

102. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Аноним (102), 14-Май-19, 22:45 
>Уже несколько обновлений выходило, а что там исправляли неизвестно, на офф сайте тоже не видно.

Если они только цифры меняют и у себя на сайте в новостях не пишут что они сделали. Вы хотите чтобы на opennet за них список изменений писали?

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

66. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +3 +/
Сообщение от Аноним (66), 14-Май-19, 16:22 
Фигасе, а я думал вацап сам по себе вредоносное ПО
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

79. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  –1 +/
Сообщение от Онаним (?), 14-Май-19, 19:37 
Эпичный f*ckapp.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

82. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от ОнанВарварemail (?), 14-Май-19, 20:19 
Вот те, бабушка, и юркни в дверь...
Актуальность изоляции говно-софта как никогда актуальна.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

89. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +1 +/
Сообщение от минона (?), 14-Май-19, 21:08 
То есть вариант не использовать таковой даже не рассматривается?
Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

109. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +1 +/
Сообщение от менеджер (?), 16-Май-19, 13:14 
еще раз пропустишь мои уведомления в чятике всосапе - наймем другого, не страдающего паранойей!

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

114. "Критическая уязвимость в приложении WhatsApp, пригодная для ..."  +/
Сообщение от Аноним (114), 23-Июн-19, 19:34 
😵
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
MIRhosting
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру