WhatsApp niedawno załatał poważną lukę, która była wykorzystywana przez napastników do zdalnego instalowania oprogramowania szpiegującego, po prostu dzwoniąc pod wskazane numery telefonów.
Sprzedawany przez izraelską firmę NSO Group, która produkuje najbardziej zaawansowane oprogramowanie szpiegujące na świecie, exploit instaluje oprogramowanie szpiegujące Pegasus na urządzeniach z Androidem i iOS.
Zgodnie z raportem opublikowanym przez Facebooka, luka typu “stack buffer overflow” w VOIP WhatsApp pozwala zdalnym atakującym na wykonanie dowolnego kodu na telefonach docelowych poprzez wysłanie spreparowanej serii pakietów SRTCP.
Podatność CVE-2019-3568, może zostać z powodzeniem wykorzystana do zainstalowania oprogramowania szpiegującego i kradzieży danych z docelowego telefonu z systemem Android lub iOSa, po prostu wykonując połączenie WhatsApp, nawet gdy połączenie nie zostanie odebrane.
Podatne produkty:
- WhatsApp na Androida, wersje wcześniejsze niż 2.19.134,
- WhatsApp Business na Androida, wersje wcześniejsze niż 2.19.44,
- WhatsApp na iOS, wersje wcześniejsze niż 2.19.51,
- WhatsApp Business na iOS, wersje wcześniejsze niż 2.19.51,
- WhatsApp na Windows Phone, wersje wcześniejsze niż 2.18.348,
- WhatsApp na system Tizen, wersje wcześniejsze niż 2.18.15
Więcej informacji: https://thehackernews.com/2019/05/hack-whatsapp-vulnerability.html