今日のWhatsApp 脆弱性を開示 これにより、ハッカーはアプリの音声通話システムのバグをリモートで悪用して、 iPhone またはAndroidデバイス。
によると ニューヨークタイムズ 、攻撃者は悪意のあるコードをWhatsAppに挿入し、WhatsAppの電話に応答したかどうかに関係なく、データを盗むことができました。
セキュリティ研究者によると、この欠陥を利用したスパイウェアは、調査対象の個人のデバイスにインストールするためにスパイウェアを購入する政府に通常ライセンスされているNSOGroupのPegasusスパイウェアの特徴を備えているとのことです。
説明: WhatsApp VOIPスタックのバッファオーバーフローの脆弱性により、ターゲットの電話番号に送信される特別に細工された一連のSRTCPパケットを介したリモートコード実行が可能になりました。
影響を受けるバージョン: この問題は、v2.19.134より前のAndroid用WhatsApp、v2.19.44より前のAndroid用WhatsApp Business、v2.19.51より前のiOS用WhatsApp、v2.19.51より前のiOS用WhatsApp Business、v2.18.348より前のWindowsPhone用WhatsAppに影響します、およびv2.18.15より前のTizen用のWhatsApp。
この脆弱性はWhatsAppによって「展開するのは簡単ではなく、高度で意欲的なアクターに限定されている」と説明されていますが、セキュリティ上の欠陥が利用可能であった期間や影響を受けた人の数は明らかではありません。これは、NSO Groupに対する訴訟に関与したロンドンの弁護士を標的にするために使用され、セキュリティ研究者は他の弁護士も標的にされた可能性があると考えています。
WhatsAppのエンジニアは、この脆弱性に対処するために「24時間体制で取り組み」、月曜日にパッチを利用できるようにしました。最初の脆弱性は、WhatsAppが前述の弁護士からの苦情を受けて異常な音声通話アクティビティを発見した10日前に発見されました。 WhatsAppは、この問題について司法省と「多数の人権団体」に通知したと述べています。
アップデート: 読者のコメントは、この記事の文言の一部が混乱または誤解を招くものであると示唆したため、脆弱性の詳細が明確になるように更新しました。具体的には、この問題はiOSオペレーティングシステムではなく、WhatsAppに影響を及ぼしました。
注:このトピックに関するディスカッションは政治的な性質があるため、ディスカッションスレッドは 政治、宗教、社会問題 フォーラム。すべてのフォーラムメンバーとサイト訪問者はスレッドを読んでフォローすることができますが、投稿は少なくとも100件の投稿があるフォーラムメンバーに制限されています。
人気の投稿