WhatsApp、音声通話の着信でリモートからのコード実行が可能な脆弱性 15
ストーリー by headless
着信 部門より
着信 部門より
Facebook傘下のWhatsAppが提供するメッセンジャーアプリ「WhatsApp Messenger」でリモートからのコード実行が可能な脆弱性CVE-2019-3568が見つかり、修正版が公開されている(Facebookのセキュリティアドバイザリー、
The Guardianの記事、
Neowinの記事、
Android Policeの記事)。
Facebookによると脆弱性はWhatsAppのVOIPスタックに存在するバッファーオーバーフローの脆弱性で、特別に細工した連続するSRTCPパケットをターゲットの電話番号に送信することでリモートからのコード実行が可能になるという。ターゲットが応答する必要はなく、着信させるだけでコードが実行されるようだ。Financial Timesの記事によると、この脆弱性を悪用してスパイウェアをインストールするコードをイスラエルのNSO Groupが開発しており、既に攻撃が確認されているとのこと。
脆弱性はAndroid版のバージョン2.19.134やiOS版のバージョン2.19.51などで修正されており、最新版への更新が推奨されている。
Facebookによると脆弱性はWhatsAppのVOIPスタックに存在するバッファーオーバーフローの脆弱性で、特別に細工した連続するSRTCPパケットをターゲットの電話番号に送信することでリモートからのコード実行が可能になるという。ターゲットが応答する必要はなく、着信させるだけでコードが実行されるようだ。Financial Timesの記事によると、この脆弱性を悪用してスパイウェアをインストールするコードをイスラエルのNSO Groupが開発しており、既に攻撃が確認されているとのこと。
脆弱性はAndroid版のバージョン2.19.134やiOS版のバージョン2.19.51などで修正されており、最新版への更新が推奨されている。
なんだピーガーじゃないのか (スコア:1)
音声通話っていうからモデムみたいに送り込むのかと……
Re: (スコア:0)
可聴域外の音で出来るんじゃなかったっけ
スパイウェアをインストール? (スコア:0)
iOSでそんなことできるの?
Re: (スコア:0)
サンドボックスを越える脆弱性が過去に見つかっているでしょ
Re: (スコア:0)
その脆弱性からjailbreakするんじゃない?
Re: (スコア:0)
出来るかどうかじゃなく、可能性があるというだけでアクセス数が増えることが大事かとw
Re: (スコア:0)
ユーザーモードで特権昇格できるならWhatsappである必要ないよね
チャット内容や連絡先情報を盗み読まれるくらいじゃないかな??
Re: (スコア:0)
インストールも物理アクセスも必要ないというのは攻撃側にとって便利
Re: (スコア:0)
WhatsAppのチャット履歴や連絡先を盗み見られるというのは十分深刻。
Facebookだし (スコア:0)
多分これはバグなんだろうけど、あそこは裏でなにをやっていてもおかしくないと思ってしまっている…。
FBユーザでない人の動向までトラッキングしたり、まともじゃない。
Re: (スコア:0)
若くて才能があって意欲的で成功までしてしまった人が何の欠点もないわけがない。
業績というプレッシャーと勝負が掛かっていればよほど人としての成熟をしていない限り自分にとって重要ではないことを軽んじる選択をするのは必然。
Re: (スコア:0)
> 多分これはバグなんだろうけど
そう考えた根拠を知りたい
ちょっと前まで (スコア:0)
エンドツーエンドで安全って評判だったのに。
これからはSignal一択かな
Re: (スコア:0)
どう関係するの?
エンドツーエンドで攻撃の内容はしっかり守られるんじゃないの
Re: (スコア:0)
エンドツーエンドは第三者に対する保護であって、片方のエンドが悪意を持っていれば関係ないよ。