Τις τελευταίες δύο μέρες, η ροή ειδήσεων μας βρίθει από προειδοποιήσεις σχετικά με το WhatsApp.
Είδαμε πολλές αναφορές που συνδέονται με δύο tweets που ισχυρίζονταν την ύπαρξη δύο τρυπών ασφαλείας μηδενικής ημέρας στο WhatsApp, δίνοντας τα αναγνωριστικά σφαλμάτων τους ως CVE-2022-36934 και CVE-2022-27492.
Ένα άρθρο, προφανώς βασισμένο σε αυτά τα tweets, επέμενε χωρίς ανάσα όχι μόνο ότι αυτά ήταν σφάλματα zero-day, αλλά και ότι είχαν ανακαλυφθεί εσωτερικά και είχαν διορθωθεί από την ίδια την ομάδα του WhatsApp.
Εξ ορισμού, ωστόσο, α Zero-Day αναφέρεται σε ένα σφάλμα που ανακάλυψαν οι επιτιθέμενοι και κατάλαβαν πώς να το εκμεταλλευτούν προτού μια ενημέρωση κώδικα ήταν διαθέσιμη, έτσι ώστε να μην υπάρχουν ημέρες κατά τις οποίες ακόμη και ο πιο ενεργός sysadmin με την πιο προοδευτική στάση στο patching θα μπορούσε να ήταν μπροστά από το παιχνίδι.
Με άλλα λόγια, η όλη ιδέα της δήλωσης ότι ένα σφάλμα είναι μια ημέρα μηδέν (συχνά γράφεται μόνο με ένα ψηφίο, όπως 0 ημερών) είναι να πείσουμε τους ανθρώπους ότι το έμπλαστρο είναι τουλάχιστον τόσο σημαντικό όσο ποτέ, και ίσως πιο σημαντικό από αυτό, επειδή η εγκατάσταση του ενημερωτικού κώδικα είναι περισσότερο θέμα να προλάβουν τους απατεώνες και να κρατήσουν μπροστά τους.
Εάν οι προγραμματιστές ανακαλύψουν οι ίδιοι ένα σφάλμα και το επιδιορθώσουν με τη θέλησή τους στην επόμενη ενημέρωση, δεν είναι μια μέρα μηδέν, επειδή οι Good Guys έφτασαν εκεί πρώτοι.
Ομοίως, εάν οι ερευνητές ασφάλειας ακολουθήσουν την αρχή του υπεύθυνη αποκάλυψη, όπου αποκαλύπτουν τις λεπτομέρειες ενός νέου σφάλματος σε έναν προμηθευτή, αλλά συμφωνούν να μην δημοσιεύουν αυτές τις λεπτομέρειες για μια συμφωνημένη χρονική περίοδο για να δώσουν στον προμηθευτή χρόνο να δημιουργήσει μια ενημέρωση κώδικα, δεν είναι μια ημέρα μηδέν.
Ο καθορισμός μιας υπεύθυνης προθεσμίας αποκάλυψης για τη δημοσίευση μιας εγγραφής του σφάλματος εξυπηρετεί δύο σκοπούς, δηλαδή ότι ο ερευνητής πρέπει τελικά να λάβει τα εύσημα για την εργασία, ενώ ο πωλητής δεν μπορεί να σκουπίσει το θέμα κάτω από το χαλί, γνωρίζοντας ότι θα βγει ούτως ή άλλως στο τέλος.
Λοιπόν, ποια είναι η αλήθεια;
Αυτή τη στιγμή το WhatsApp δέχεται ενεργή επίθεση από εγκληματίες; Είναι αυτός ένας σαφής και τρέχων κίνδυνος;
Πόσο πρέπει να ανησυχούν οι χρήστες του WhatsApp;
Εάν έχετε αμφιβολίες, συμβουλευτείτε το συμβουλευτικό
Από όσο μπορούμε να πούμε, οι αναφορές που κυκλοφορούν αυτή τη στιγμή βασίζονται σε πληροφορίες απευθείας από το WhatsApp 2022 συμβουλευτική σελίδα για την ασφάλεια, που λέει [2022-09-27T16:17:00Z]:
Ενημερώσεις WhatsApp Security Advisories 2022 Ενημέρωση Σεπτεμβρίου CVE-2022-36934 Μια υπερχείλιση ακέραιου αριθμού στο WhatsApp για Android πριν από την έκδοση 2.22.16.12, Business για Android πριν από την έκδοση 2.22.16.12, iOS πριν από την έκδοση 2.22.16.12, Business για iOS πριν από την έκδοση 2.22.16.12 θα μπορούσε να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα σε μια καθιερωμένη βιντεοκλήση. CVE-2022-27492 Μια υποροή ακέραιου αριθμού στο WhatsApp για Android πριν από την έκδοση 2.22.16.2, WhatsApp για iOS έκδοση 2.22.15.9 θα μπορούσε να έχει προκαλέσει απομακρυσμένη εκτέλεση κώδικα κατά τη λήψη ενός δημιουργημένου αρχείου βίντεο.
Και τα δύο σφάλματα αναφέρονται ως δυνητικά οδηγούν σε απομακρυσμένη εκτέλεση κώδικα, ή RCE για συντομία, που σημαίνει ότι τα παγιδευμένα δεδομένα θα μπορούσαν να αναγκάσουν την εφαρμογή να διακοπεί και ότι ένας έμπειρος εισβολέας μπορεί να είναι σε θέση να παραποιήσει τις συνθήκες της συντριβής για να προκαλέσει μη εξουσιοδοτημένη συμπεριφορά στην πορεία.
Συνήθως, όταν εμπλέκεται ένα RCE, αυτή η "μη εξουσιοδοτημένη συμπεριφορά" σημαίνει την εκτέλεση κακόβουλου κώδικα προγράμματος ή κακόβουλου λογισμικού, για να ανατρέψει και να λάβει κάποια μορφή τηλεχειρισμού στη συσκευή σας.
Από τις περιγραφές, υποθέτουμε ότι το πρώτο σφάλμα απαιτούσε μια συνδεδεμένη κλήση για να μπορέσει να ενεργοποιηθεί, ενώ το δεύτερο σφάλμα ακούγεται σαν να μπορούσε να ενεργοποιηθεί σε άλλες στιγμές, για παράδειγμα κατά την ανάγνωση ενός μηνύματος ή την προβολή ενός αρχείου που έχετε ήδη κατεβάσει στη συσκευή σας .
Οι εφαρμογές για κινητά συνήθως ρυθμίζονται πολύ πιο αυστηρά από το λειτουργικό σύστημα από τις εφαρμογές σε φορητούς υπολογιστές ή διακομιστές, όπου τα τοπικά αρχεία είναι γενικά προσβάσιμα και κοινώς κοινοποιούνται μεταξύ πολλών προγραμμάτων.
Αυτό, με τη σειρά του, σημαίνει ότι ο συμβιβασμός μιας μεμονωμένης εφαρμογής για κινητά ενέχει γενικά λιγότερο κίνδυνο από μια παρόμοια επίθεση κακόβουλου λογισμικού στον φορητό υπολογιστή σας.
Στον φορητό υπολογιστή σας, για παράδειγμα, το podcast player σας μπορεί πιθανώς να κρυφοκοιτάξει τα έγγραφά σας από προεπιλογή, ακόμα κι αν κανένα από αυτά δεν είναι αρχεία ήχου, και το πρόγραμμα φωτογραφιών σας μπορεί πιθανώς να κάνει root στο φάκελο υπολογιστικών φύλλων σας (και αντίστροφα).
Στην κινητή συσκευή σας, ωστόσο, συνήθως υπάρχει πολύ πιο αυστηρός διαχωρισμός μεταξύ των εφαρμογών, έτσι ώστε, τουλάχιστον από προεπιλογή, το πρόγραμμα αναπαραγωγής podcast σας να μην μπορεί να δει έγγραφα, το πρόγραμμα υπολογιστικών φύλλων δεν μπορεί να περιηγηθεί στις φωτογραφίες σας και η εφαρμογή φωτογραφιών σας δεν μπορεί δείτε αρχεία ήχου ή έγγραφα.
Ωστόσο, ακόμη και η πρόσβαση σε μια μεμονωμένη εφαρμογή "sandboxed" και τα δεδομένα της μπορεί να είναι το μόνο που θέλει ή χρειάζεται ένας εισβολέας, ειδικά αν αυτή η εφαρμογή είναι αυτή που χρησιμοποιείτε για την ασφαλή επικοινωνία με τους συναδέλφους, τους φίλους και την οικογένειά σας, όπως το WhatsApp.
Το κακόβουλο λογισμικό WhatsApp που θα μπορούσε να διαβάσει τα προηγούμενα μηνύματά σας, ή ακόμα και τη λίστα των επαφών σας, και τίποτα άλλο, θα μπορούσε να προσφέρει έναν θησαυρό δεδομένων για τους διαδικτυακούς εγκληματίες, ειδικά αν ο στόχος τους είναι να μάθουν περισσότερα για εσάς και την επιχείρησή σας για να το πουλήσουν εσωτερικές πληροφορίες για άλλους απατεώνες στον σκοτεινό ιστό.
Ένα σφάλμα λογισμικού που ανοίγει τρύπες στον κυβερνοχώρο είναι γνωστό ως α ευπάθεια, και κάθε επίθεση που κάνει πρακτική χρήση μιας συγκεκριμένης ευπάθειας είναι γνωστή ως an εκμεταλλεύονται.
Και οποιαδήποτε γνωστή ευπάθεια στο WhatsApp που μπορεί να είναι εκμεταλλεύσιμη για σκοπούς κατασκοπείας αξίζει να επιδιορθωθεί το συντομότερο δυνατό, ακόμα κι αν κανείς δεν βρει ποτέ μια λειτουργική εκμετάλλευση για την κλοπή δεδομένων ή την εμφύτευση κακόβουλου λογισμικού.
(Δεν καταλήγουν όλα τα τρωτά σημεία να είναι εκμεταλλεύσιμα για το RCE – ορισμένα σφάλματα αποδεικνύονται αρκετά ιδιότροπα ώστε ακόμα κι αν μπορούν αξιόπιστα να ενεργοποιηθούν για να προκαλέσουν συντριβή, ή άρνηση υπηρεσίας, δεν μπορούν να εξημερωθούν αρκετά καλά ώστε να κατακτήσουν εντελώς την εφαρμογή που έχει διακοπεί.)
Τι να κάνω;
Τα καλά νέα εδώ είναι ότι τα σφάλματα που αναφέρονται εδώ προφανώς επιδιορθώθηκαν σχεδόν πριν από έναν μήνα, παρόλο που οι τελευταίες αναφορές που έχουμε δει υπονοούν ότι αυτά τα ελαττώματα αντιπροσωπεύουν έναν σαφή και τρέχοντα κίνδυνο για τους χρήστες του WhatsApp.
Όπως επισημαίνει η συμβουλευτική σελίδα του WhatsApp, αυτές οι δύο λεγόμενες τρύπες "zero-day" επιδιορθώνονται σε όλες τις γεύσεις της εφαρμογής, τόσο για Android όσο και για iOS, με αριθμούς έκδοσης 2.22.16.12 ή αργότερα.
Σύμφωνα με το App Store της Apple, η τρέχουσα έκδοση του WhatsApp για iOS (τόσο για Messenger όσο και για Business) είναι ήδη 2.22.19.78, με πέντε ενδιάμεσες ενημερώσεις που κυκλοφόρησαν από την πρώτη επιδιόρθωση που επιδιορθώνει τα προαναφερθέντα σφάλματα, η οποία χρονολογείται ήδη ένα μήνα πριν.
Στο Google Play, το WhatsApp είναι ήδη έτοιμο 2.22.19.76 (η έκδοση δεν ευθυγραμμίζεται πάντα ακριβώς μεταξύ διαφορετικών λειτουργικών συστημάτων, αλλά συχνά είναι κοντά).
Με άλλα λόγια, εάν έχετε ρυθμίσει τη συσκευή σας να ενημερώνεται αυτόματα, τότε θα έπρεπε να έχετε διορθώσει αυτές τις απειλές WhatsApp για περίπου ένα μήνα ήδη.
Για να ελέγξετε τις εφαρμογές που έχετε εγκαταστήσει, πότε ενημερώθηκαν τελευταία φορά και τα στοιχεία της έκδοσής τους, πληκτρολογήστε το App Store εφαρμογή σε iOS ή Play Store στο Android.
Πατήστε στο εικονίδιο του λογαριασμού σας για να αποκτήσετε πρόσβαση στη λίστα των εφαρμογών που έχετε εγκαταστήσει στη συσκευή σας, συμπεριλαμβανομένων των λεπτομερειών για το πότε ενημερώθηκαν τελευταία και τον αριθμό της τρέχουσας έκδοσης που έχετε.
- blockchain
- Coingenius
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- Εκμεταλλεύομαι
- firewall
- Kaspersky
- malware
- Mcafee
- Γυμνή ασφάλεια
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ευπάθεια
- ιστοσελίδα της ασφάλειας
- zephyrnet
![S3 Ep103: Scammers in the Slammer (και άλλες ιστορίες) [Ήχος + Κείμενο] PlatoBlockchain Data Intelligence. Κάθετη αναζήτηση. Ολα συμπεριλαμβάνονται.](https://platoblockchain.com/wp-content/uploads/2022/10/s3-ep103-cover-1200-360x188.png "S3 Ep103: Scammers in the Slammer (και άλλες ιστορίες) [Ήχος + Κείμενο]")
![S3 Ep93: Ασφάλεια γραφείου, κόστος παραβίασης και χαλαρές ενημερώσεις κώδικα [Ήχος + Κείμενο] PlatoBlockchain Data Intelligence. Κάθετη αναζήτηση. Ολα συμπεριλαμβάνονται.](https://platoblockchain.com/wp-content/uploads/2022/07/s3-ep93-1200-300x157.png "S3 Ep93: Ασφάλεια γραφείου, κόστος παραβίασης και χαλαρές ενημερώσεις κώδικα [Ήχος + Κείμενο]")
![S3 Ep123: Crypto company compromise kerfuffle [Ήχος + Κείμενο]](https://platoblockchain.com/wp-content/uploads/2023/02/s3-ep123-crypto-company-compromise-kerfuffle-audio-text-300x156.png "S3 Ep123: Crypto company compromise kerfuffle [Ήχος + Κείμενο]")
