Il s'avère que WhatsApp Messenger est affecté par une vulnérabilité de dépassement de tampon exploitable, qui peut être utilisée pour prendre le contrôle du téléphone en "zéro clic", en passant un appel à l'aide de paquets spécialement conçus :
The Register :
Nous sommes en 2019 et un appel WhatsApp peut pirater un téléphone. : Une exploitation de type "zero day" infecte les foules avec des logiciels espions.
también
The Verge :
Mettez WhatsApp à jour dès maintenant pour éviter l'installation de logiciels espions à partir d'un simple appel manqué. : Le logiciel espion NSO Pegasus peut activer la caméra et le micro d'un téléphone et collecter des courriels, des messages et des données de localisation.
et, à l'origine, le Financial Times (malheureusement, paywalled) :
Des appels vocaux WhatsApp utilisés pour injecter un logiciel espion israélien sur des téléphones
En lisant l'article de The Register :
Une faille de sécurité dans WhatsApp peut être, et a été, exploitée pour injecter un logiciel espion dans les smartphones des victimes. pour injecter un logiciel d'espionnage dans les smartphones des victimes : tout ce qu'un fouineur doit faire est de passer un appel vocal piégé vers le numéro de la cible et il est dans le coup. un appel vocal piégé vers le numéro de la cible, et le tour est joué. La victime de victime n'a rien d'autre à faire que de laisser son téléphone allumé.
Les ingénieurs de Facebook se sont démenés pendant le week-end pour combler le trou, désignée CVE-2019-3568, et des versions fraîchement sécurisées de WhatsApp ont été distribuées aux utilisateurs lundi. Si votre téléphone vous propose de mettre à jour WhatsApp pour vous, faites-le, ou vérifiez les nouvelles versions manuellement. La vulnérabilité vulnérabilité est présente dans les versions Google Android, Apple iOS, et Microsoft Windows Phone de l'application, utilisée par 1,5 milliard de personnes. milliards de personnes dans le monde.
Ok, cool. Je ne fais pas partie de la population cible des pauvres types qui protestent contre leurs méchants gouvernements ou des méchants types qui protestent contre leurs gouvernements par d'autres moyens, mais je veux quand même me mettre à jour.
Facebook donne ce mini-conseil :
CVE-2019-3568
Description : Une vulnérabilité de débordement de tampon dans la pile VOIP de WhatsApp VOIP de WhatsApp permet l'exécution de code à distance via une série de paquets SRTCP envoyés à un numéro de téléphone cible.
Versions affectées : Le problème affecte WhatsApp pour Android avant la v2.19.134, WhatsApp Business pour Android avant la v2.19.44, WhatsApp pour iOS avant la v2.19.51, WhatsApp Business pour iOS avant la v2.19.51 v2.19.51, WhatsApp pour Windows Phone avant la v2.18.348, et WhatsApp pour Tizen avant la version 2.18.15.
Dernière mise à jour : 2019-05-13
Notez que CVE-2019-3568 est pas (encore) dans la base de données du NIST : CVE ID non trouvé.
Maintenant, je suis un peu confus. J'ai vérifié la version de l'application WhatsApp sur mon Samsung :
- Démarrer WhatsApp
- Accéder au menu avec le triple point ()
- Sélectionnez "Paramètres" dans le menu qui apparaît
- Sélectionnez "Aide" dans le menu qui apparaît
- Sélectionnez "App Info" dans le menu qui apparaît.
- Vous verrez quelque chose comme "WhatsApp Messenger" Version 2.19.134
(Pourquoi est-ce si compliqué ? Google devrait exiger que les applications déposent leur chaîne de version dans une base de données facilement réutilisable, comme le bon sens le commanderait. Bref...)
J'ai donc la version 2.19.134. Selon l'avis de Facebook, ça devrait être bon .
Mais quand je vérifie dans le Play Store Je vois "Last updated 10 May 2019", c'est-à-dire avant le week-end. Aucune information de version n'est donnée ici, il faut donner le fouet à quelqu'un du bureau d'études. Et y a-t-il un journal des modifications quelque part ?
Enfin, quand je vais à https://www.whatsapp.com/Android/ On me dit que je peux "télécharger maintenant" la version 2.19.137, ce qui représente une augmentation de trois points par rapport à la version que je possède.
Donc :
- Devrais-je simplement ne pas m'inquiéter parce que je suis à la version sûre (sur laquelle j'ai maintenant des informations contradictoires).
- Devrais-je simplement attendre que WhatsApp Messenger se mette à jour (ce qui devrait arriver bientôt, ou peut être déclenché explicitement).
- Dois-je installer la version à https://www.whatsapp.com/Android/ au lieu d'utiliser le Play Store (je ne suis même pas sûr que cela fonctionne).
Mise à jour
Pour plus de dérision, l'écran "Notification de mise à jour" : Il indique que Whatsapp Messenger a été mis à jour "il y a 2 jours" (c'est-à-dire aux alentours de lundi), mais ne donne pas le numéro de la nouvelle version et, timidement, ne dit rien sur un quelconque problème de sécurité.
0 votes
Kaspersky dit à Un appel sur WhatsApp suffit pour établir une surveillance : Notre meilleure suggestion pour le moment est de vous assurer que votre WhatsApp est à jour. Pour ce faire, allez dans l'App Store d'Apple ou le Google Play Store, cherchez WhatsApp et cliquez sur Mettre à jour. S'il n'y a pas de bouton "Update", mais que vous voyez le bouton "Open" à la place, cela signifie que vous avez la dernière version de WhatsApp, et qu'elle est déjà corrigée contre de telles attaques. Cela signifie que je dispose d'une "dernière" version mais pas de la "dernière" version. Je trouve ce manque d'information inquiétant.