パスワードを忘れた? アカウント作成
13911738 story
バグ

WhatsApp、音声通話の着信でリモートからのコード実行が可能な脆弱性 15

ストーリー by headless
着信 部門より
Facebook傘下のWhatsAppが提供するメッセンジャーアプリ「WhatsApp Messenger」でリモートからのコード実行が可能な脆弱性CVE-2019-3568が見つかり、修正版が公開されている(FacebookのセキュリティアドバイザリーThe Guardianの記事Neowinの記事Android Policeの記事)。

Facebookによると脆弱性はWhatsAppのVOIPスタックに存在するバッファーオーバーフローの脆弱性で、特別に細工した連続するSRTCPパケットをターゲットの電話番号に送信することでリモートからのコード実行が可能になるという。ターゲットが応答する必要はなく、着信させるだけでコードが実行されるようだ。Financial Timesの記事によると、この脆弱性を悪用してスパイウェアをインストールするコードをイスラエルのNSO Groupが開発しており、既に攻撃が確認されているとのこと。

脆弱性はAndroid版のバージョン2.19.134やiOS版のバージョン2.19.51などで修正されており、最新版への更新が推奨されている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年05月18日 20時18分 (#3616975)

    音声通話っていうからモデムみたいに送り込むのかと……

    • by Anonymous Coward

      可聴域外の音で出来るんじゃなかったっけ

  • by Anonymous Coward on 2019年05月18日 14時04分 (#3616864)

    iOSでそんなことできるの?

    • by Anonymous Coward

      サンドボックスを越える脆弱性が過去に見つかっているでしょ

    • by Anonymous Coward

      その脆弱性からjailbreakするんじゃない?

    • by Anonymous Coward

      出来るかどうかじゃなく、可能性があるというだけでアクセス数が増えることが大事かとw

    • by Anonymous Coward

      ユーザーモードで特権昇格できるならWhatsappである必要ないよね
      チャット内容や連絡先情報を盗み読まれるくらいじゃないかな??

      • by Anonymous Coward

        インストールも物理アクセスも必要ないというのは攻撃側にとって便利

      • by Anonymous Coward

        WhatsAppのチャット履歴や連絡先を盗み見られるというのは十分深刻。

  • by Anonymous Coward on 2019年05月18日 14時58分 (#3616883)

    多分これはバグなんだろうけど、あそこは裏でなにをやっていてもおかしくないと思ってしまっている…。
    FBユーザでない人の動向までトラッキングしたり、まともじゃない。

    • by Anonymous Coward

      若くて才能があって意欲的で成功までしてしまった人が何の欠点もないわけがない。
      業績というプレッシャーと勝負が掛かっていればよほど人としての成熟をしていない限り自分にとって重要ではないことを軽んじる選択をするのは必然。

    • by Anonymous Coward

      > 多分これはバグなんだろうけど

      そう考えた根拠を知りたい

  • by Anonymous Coward on 2019年05月18日 15時58分 (#3616895)

    エンドツーエンドで安全って評判だったのに。
    これからはSignal一択かな

    • by Anonymous Coward

      どう関係するの?
      エンドツーエンドで攻撃の内容はしっかり守られるんじゃないの

    • by Anonymous Coward

      エンドツーエンドは第三者に対する保護であって、片方のエンドが悪意を持っていれば関係ないよ。

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...