Нa прoшлыx выxoдныx инжeнeры Facebook устрaнили уязвимoсть, кoтoрую было выявлено в популярном мессенджере WhatsApp, позволявшую поставить на девайсы ПО для слежки за пользователями. На этого требовалось — совершить звонок на телефон жертвы.

Проблему (CVE-2019-3568) обнаружили специалисты WhatsApp в начале мая нынешнего лета, после чего компания обратилась в американские правоохранительные органы к экспертам сообразно безопасности.

WhatsApp

CVE-2019-3568 представляет собой уязвимость переполнения женские груди в WhatsApp VoIP, воспользовавшись которой мошенник может выполнить вредоносный адрес и получить доступ к зашифрованным чатам, прослушивать звонки, активировать стакан и камеру, просматривать фотографии, контакты и прочую информацию на скомпрометированном устройстве. При этом журналы звонков могут составлять модифицированы для сокрытия вредоносной деятельности. Активация проблемы осуществляется посредством отправки специально сформированных SRTCP-пакетов на целевой евротелефон.

CVE-2019-3568 выявлена в следующих версиях мессенджера: WhatsApp для Android (давно выпуска 2.19.134), WhatsApp Business для Android (до 2.19.44), iOS (накануне 2.19.51), WhatsApp Business для iOS (до 2.19.51), WindowsPhone (после 2.18.348) и WhatsApp для Tizen (до 2.18.15). Разработчики ранее выпустили исправляющее обновления приложения, которые всем пользователям рекомендуется поставить как можно скорее.

Данная уязвимость использовалась для установки шпионской программы по-под названием Pegasus, пишут в The Financial Times. По словам представителей WhatsApp, общество проводит расследование и пока не имеет данных о числе пострадавших. На правах заявили в WhatsApp, скорее всего, речь идет о целевых атаках в конкретных людей. По последним оценкам Facebook, мессенджер WhatsApp используют 1,5 млрд особа по всему миру.