Kerentanan WhatsApp dieksploitasi untuk menjangkiti telefon dengan spyware Israel

Penyerang telah mengeksploitasi kerentanan di WhatsApp yang membenarkan mereka menjangkiti telefon dengan spyware canggih yang dibuat oleh pemaju Israel NSO Group, lapor Financial Times pada hari Isnin, memetik syarikat dan peniaga teknologi spyware.

Seorang wakil WhatsApp, yang digunakan oleh 1.5 bilion orang, memberitahu Ars bahawa penyelidik syarikat mendapati kerentanan pada awal bulan ini ketika mereka melakukan peningkatan keamanan. CVE-2019-3568, sebagai kerentanan telah diindeks, adalah kerentanan buffer overflow dalam tumpukan VOIP WhatsApp yang membolehkan pelaksanaan kod jauh apabila siri khas paket SRTCP dihantar ke nombor telefon sasaran, menurut nasihat ini.

Menurut Financial Times, eksploitasi bekerja dengan memanggil sama ada iPhone atau peranti Android yang lemah menggunakan fungsi panggilan WhatsApp. Sasaran tidak sepatutnya menjawab panggilan, dan panggilan seringkali hilang dari log, kata penerbitan itu. Perwakilan WhatsApp berkata kelemahan itu telah diperbaiki dalam kemas kini yang dikeluarkan pada hari Jumaat.

FT, memetik peniaga teknologi spyware yang tidak dinamakan, berkata pelakon itu adalah NSO Group, yang baru-baru ini bernilai $ 1 bilion dalam pembelian yang memanfaatkan yang melibatkan dana ekuiti swasta UK Novalpina Capital. NSO Group adalah pembuat Pegasus, aplikasi canggih yang jailbreak atau akar peranti mudah alih yang dijangkiti supaya spyware boleh merangkak melalui mesej peribadi, mengaktifkan mikrofon dan kamera, dan mengumpulkan semua jenis maklumat sensitif yang lain.

Perwakilan WhatsApp memberitahu Ars bahawa "beberapa pengguna pilihan telah disasarkan melalui kelemahan ini oleh pelaku siber maju. Serangan itu mempunyai semua keunggulan syarikat swasta dilaporkan yang berfungsi dengan kerajaan untuk menyampaikan spyware yang mengambil alih fungsi sistem pengendalian telefon bimbit. "Wakil tersebut tidak mengenal nama NSO dengan nama.

Antara orang yang disasarkan ialah peguam hak asasi manusia yang berpangkalan di UK yang telefonnya diserang pada Ahad kerana WhatsApp sedang dalam proses meneutralkan kerentanan. (Ini menurut John Scott-Railton, seorang penyelidik kanan di Makmal Citizen yang berpangkalan di Toronto, yang bercakap dengan Ars.) Apabila eksploit gagal, telefon peguam itu telah dikunjungi oleh eksploitasi yang kedua dan tidak berjaya, kata penyelidik Citizen Lab.

"Siapa pun di syarikat itu yang bertanggungjawab memantau eksploitasi mereka tidak melakukan pekerjaan yang sangat baik," kata Scott-Railton. Tidak dapat mengetahui lebih awal bahawa eksploit telah diperbaiki "mencadangkan kumpulan yang merupakan syarikat spyware komersial, tidak melakukan pekerjaan yang baik."

Scott-Railton menolak untuk menamakan peguam UK tetapi berkata beliau telah mewakili wartawan Mexico, pengkritik kerajaan, dan penentang Saudi yang tinggal di Kanada dalam tuntutan undang-undang terhadap Kumpulan NSO. Tindakan undang-undang mendakwa liabiliti saham NSO untuk sebarang penyalahgunaan perisian oleh pelanggan.

Dalam beberapa bulan kebelakangan ini, Scott-Railton berkata, NSO Group mengatakan bahawa spyware hanya digunakan terhadap sasaran yang sah dari kumpulan penguatkuasaan undang-undang. "Jika memang ini NSO, syarikat dalam kes ini jelas digunakan dengan cara yang sangat melulu," katanya. "Ini [peguam] bukan definisi seseorang tentang sasaran yang sah."

WhatsApp berkata penetapan pada hari Jumaat dibuat kepada pelayan syarikat dan bertujuan untuk menghalang serangan daripada bekerja. Syarikat itu mengeluarkan patch untuk pengguna akhir pada hari Isnin. WhatsApp berkata ia juga telah mendedahkan kejadian itu kepada agensi penguatkuasa undang-undang AS untuk membantu mereka menjalankan siasatan. Pada hari Selasa, Kumpulan NSO menghadapi cabaran di mahkamah Israel mengenai keupayaannya untuk mengeksport perisiannya. Cabaran ini datang dari Amnesty International dan kumpulan hak asasi manusia yang lain.

Percubaan untuk mencapai Kumpulan NSO tidak berjaya.