Wczoraj została ujawniona bardzo groźna luka bezpieczeństwa komunikatora WhatsApp. Izraelscy hakerzy opracowali exploit, który pozwalał na zdalną instalację oprogramowania szpiegującego. Problem tkwił w protokole VoIP i dotyczył wszystkich platform (m.in. Androida i iOS). Facebook potwierdził istnienie błędu.
WhatsApp uważany jest za jeden z najbezpieczniejszych komunikatorów internetowych na świecie. Aplikacja pozwala na przesyłanie wiadomości tekstowych, zdjęć, wiadomości głosowych, prowadzenie rozmów telefonicznych itp. Najważniejsze jest to, że cała komunikacja jest szyfrowana w sposób end-to-end. Oznacza to, że jawny tekst pojawia się jedynie na urządzeniach rozmawiających ze sobą osób. Dzięki temu WhatsApp zyskał już 1,5 miliarda użytkowników, którzy jak się okazało, byli narażeni na atak ze strony izraelskich hakerów. Podatność CVE-2019-3568, bo o niej mowa, polega na błędzie przepełnienia bufora w protokole VoIP komunikatora, który można wywołać za pomocą specjalnie spreparowanych pakietów SRTCP.
Czy WhatsApp jest dalej bezpiecznym komunikatorem?
Facebook nie opublikował jeszcze szczegółów opisujących sposób działania odkrytego exploita. Jednak poznaliśmy dokładne wersje aplikacji podatnych na atak:
- WhatsApp for Android starsze niż v2.19.134
- WhatsApp Business for Android starsze niż v2.19.44
- WhatsApp for iOS starsze niż v2.19.51
- WhatsApp Business for iOS starsze niż v2.19.51
- WhatsApp for Windows Phone starsze niż v2.18.348
- WhatsApp for Tizen starsze niż v2.18.15
W całym ataku najgorsze jest to, że można go przeprowadzić zdalnie bez żadnej interakcji użytkownika. Ofiara nie musi otwierać żadnych podejrzanych linków ani instalować aplikacji z niezaufanych źródeł. Wystarczy, że hakerzy wybiorą sobie użytkownika z zainstalowanym WhatsApp’em i do niego zadzwonią. Nie trzeba nawet odbierać tego połączenia. Przepełnienie bufora pozwoli na wykonanie kodu, który zainstaluje “niewidzialnego” szpiega i usunie z historii felerne połączenie.
Omawiana podatność została odkryta na początku maja. Zagraniczna prasa sugeruje, że exploit był używany przez izraelską firmę NSO Group. Odpowiada ona za opracowanie słynnego narzędzia szpiegującego Pegasus. Oficjalnie ma być ono używane przez agencje rządowe do zwalczania terroryzmu. Jednak zostało ono odkryte również na smartfonach aktywistów walczących o prawa człowieka w Arabii Saudyjskiej. Celem ataku było również Amnesty International. Organizacja przyłączyła się do pozwu przygotowanego przez Jamala Khashoggiego. Aktywista pozwał NSO Group do izraelskiego sądu pod zarzutem szpiegostwa.