עדכנתם כבר גרסה לווטסאפ? באג קריטי מאיים עליכם
עדכנתם כבר גרסה לווטסאפ? באג קריטי מאיים עליכם
באג חדש בווטסאפ, שמאיים על משתמשי אנדרואיד ואייפון, מאפשר לגורם זדוני לנצל שיחת וידיאו ולהזריק נוזקה לטלפון שלכם. הדרך להתגונן: לעדכן את האפליקציה לגרסה החדשה ביותר הזמינה עבורכם. בווטסאפ אישרו את הפרצה, אך ציינו כי לא נמצאה ראיה שמישהו הצליח לנצלה
באג אבטחה קריטי התגלה בגרסאות אנדרואיד ואייפון של ווטסאפ, ולדברי חוקרי סייבר הוא מאפשר לגורם זדוני לנצל שיחת וידאו ולהזריק נוזקה למכשירים שמשתתפים בה. הפרצות זוהו על ידי חברת Malwarebytes וגם מטא אישרה אותן. הן מקוטלגות תחת מספרי CVE וההמלצה היא לעדכן את האפליקציה בהקדם לגרסה החדשה ביותר שזמינה למכשיר שלכם.
הבאג קיבל ציון מסוכנות של 9.8 מתוך 10. כלומר שניתן לנצל אותו בצורה מלאה ללא שיש הגנה כלשהי למעט חסימת הפרצה דרך עדכון. הפרצה מאפשרת לפורץ לנצל integer overflow bug. אירוע כזה קורה כאשר לאפליקציה נגמר המקום הזמין בזיכרון הפעולה מה שגורם לנתונים שהיא שולחת לעיבוד ל"גלוש" לאזורים אחרים של הזיכרון בהם יכולה להסתתר נוזקה או קוד זדוני.
ניצול הפרצה והחדרת נוזקה מתבצעים בגלל בעיה ברכיב שיחות הווידאו של ווטסאפ. כלומר, תוקף יכול לנצל את שיחת הוידאו שהאפליקציה מפעילה כדי לגרום לבאג וכך להחדיר נוזקה למכשיר היעד. זו טכניקה שדורשת ידע טכני ולא כל אחד יכול לנצל אותה. למעשה זו טכניקה מאוד דומה לזו של נוזקת NSO - פגאסוס - אם כי הבאג שמנוצל כאן לטובת הפריצה שונה מעט. הפרצה של NSO ניצלה באג במנגנון השיחות הקוליות ואיפשרה להחדיר את פגאסוס למכשיר גם אם השיחה לא נענתה.
בווטסאפ אישרו כאמור את המצאות הפרצות האלה ולאחר בדיקה משותפת עם חוקרי הסייבר לא נמצאה ראיה לכך שמישהו הצליח לנצל אותן באירוע סייבר כלשהו.