黑客利用WhatsApp 0day 漏洞秘密安装手机监控软件

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

最近，Whatsapp 修复了一个严重漏洞，攻击者只需通过 Whatsapp 音频通话拨打目标电话号码，即可在一些“有限的”智能手机上远程安装监控恶意软件。

生产全球最先进的移动监控软件的以色列公司 NSO Group 发现、武器化并出售该 0day漏洞，可在安卓和 iOS 设备上安装 Pegasus 监控软件。

Facebook 发布安全通告指出，WhatsApp VOIP 栈中年存在缓冲溢出漏洞，可导致远程攻击者发送特殊构造的 SRTCP 数据包系列在目标手机上执行任意代码。

很显然，仅通过拨打 WhatsApp 通话的方式甚至是在通话无应答的情况下，该漏洞 CVE-2019-3568 可被用于安装监控软件并从目标安卓或 iPhone 手机中窃取数据。

同时，由于监控软件从日志中擦除拨入电话的信息，因此受害者并无法发现这种隐秘行为。

尽管目标 WhatsApp 用户的确切数量尚不知晓，但 WhatsApp 工程师确实证实称，NSO Group 仅攻击数量“有限的”用户。

同时，加拿大多伦多大学的公民实验室调查 NSO Group 的活动后认为，该漏洞被用于在上周日攻击一名位于英国的人权律师。

NSO Group 出售的 Pegasus 监控软件可导致攻击者远程访问受害者智能手机中的大量数据，包括温恩信息、邮件、WhatsApp 信息、联系人详情、通话记录、位置信息、麦克风和摄像头，而这些均是在受害者不知不觉的情况下进行的。

去年，Pegasus 监控软件被指攻击墨西哥、阿联酋的人权活动家和记者，以及在沙特阿拉伯工作的大赦国际工作人员和位于国外的另外一名沙特人权捍卫者。

该漏洞影响所有除最新的 WhatsApp iOS 和安卓版本，也就是说影响所有使用 WhatApp 的15亿用户。

Facebook 在安全公告中指出，“该问题影响 v2.19.134 之前的 WhatsApp 安卓版本、v2.19.44 之前的 WhatsApp 商务安卓版本、v2.19.51之前的 WhatsApp 商务iOS 版本、v2.18.348 之前的 WhatsApp Windows Phone 版本以及 v2.18.15 之前的 WhatsApp Tizen 版本。”

WhatsApp 工程师在本月初发现了这个 0day 漏洞并向美国司法部报告。他们建议 iOS 和安卓版本用户尽快更新至最新版本。

原文链接

https://thehackernews.com/2019/05/hack-whatsapp-vulnerability.html

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。