ביממה או היומיים האחרונים, פיד החדשות שלנו רוחש אזהרות לגבי וואטסאפ.
ראינו דיווחים רבים המקשרים לשני ציוצים שטענו לקיומם של שני פרצות אבטחה של אפס יום בוואטסאפ, והעניקו את מזהי הבאגים שלהם CVE-2022-36934 ו CVE-2022-27492.
מאמר אחד, שהתבסס כנראה על הציוצים האלה, התעקש בנשימה עצורה לא רק שמדובר באגים של יום אפס, אלא גם שהם התגלו באופן פנימי ותוקנו על ידי צוות WhatsApp עצמו.
אולם בהגדרה, א אפס-יום הכוונה לבאג שתוקפים גילו והבינו כיצד לנצל לפני שתיקון היה זמין, כך שהיו אפס ימים שבהם אפילו מנהל המערכת האקטיבי ביותר עם הגישה הכי מתקדמת לתיקון היה יכול להקדים את המשחק.
במילים אחרות, כל הרעיון של קביעה שבאג הוא יום אפס (לעתים קרובות נכתב רק עם ספרה, כמו 0 יום) זה לשכנע אנשים שהתיקון חשוב לפחות מתמיד, ואולי חשוב מזה, כי התקנת התיקון היא יותר שאלה של להדביק את הנוכלים, זו של להישאר מולם.
אם מפתחים חושפים באג בעצמם ומתקנים אותו מרצונם בעדכון הבא שלהם, זה לא יום אפס, כי החבר'ה הטובים הגיעו לשם ראשונים.
כמו כן, אם חוקרי אבטחה פועלים לפי העיקרון של חשיפה אחראית, שבו הם חושפים את הפרטים של באג חדש לספק אבל מסכימים לא לפרסם את הפרטים האלה לפרק זמן מוסכם כדי לתת לספק זמן ליצור תיקון, זה לא יום אפס.
קביעת מועד אחרון לחשיפה אחראית לפרסום כתבה על הבאג משרתת שתי מטרות, כלומר שהחוקר יקבל בסופו של דבר קרדיט על העבודה, בעוד שהספק נמנע מלטאטא את הנושא מתחת לשטיח, בידיעה שהיא תבוטל בכל מקרה. בסוף.
אז מה האמת?
האם וואטסאפ מותקפת כעת על ידי פושעי רשת? האם זו סכנה ברורה ועכשווית?
עד כמה משתמשי WhatsApp צריכים להיות מודאגים?
אם יש לך ספק, התייעץ עם הייעוץ
עד כמה שאנו יכולים לדעת, הדיווחים המופצים כרגע מבוססים על מידע ישירות מ-2022 של WhatsApp עצמה דף ייעוץ אבטחה, שאומר [2022-09-27T16:17:00Z]:
עצות אבטחה של WhatsApp עדכונים לשנת 2022 עדכון ספטמבר CVE-2022-36934 הצפת מספרים שלמים ב-WhatsApp לאנדרואיד לפני v2.22.16.12, Business for Android לפני v2.22.16.12, iOS לפני v2.22.16.12, Business עבור iOS לפני v2.22.16.12 עלולה לגרום לקוד מרחוק ביצוע בשיחת וידאו מבוססת. CVE-2022-27492 זרימת מספרים שלמים ב-WhatsApp לאנדרואיד לפני גרסה 2.22.16.2, WhatsApp עבור iOS v2.22.15.9 עלולה לגרום לביצוע קוד מרחוק בעת קבלת קובץ וידאו בעל מבנה.
שני הבאגים רשומים כבעלי פוטנציאל להוביל ביצוע קוד מרחוק, או בקיצור RCE, כלומר נתונים ממולכדים עלולים לאלץ את האפליקציה לקרוס, ושתוקף מיומן יוכל לתקן את נסיבות ההתרסקות כדי להפעיל התנהגות לא מורשית לאורך הדרך.
בדרך כלל, כאשר מעורב RCE, אותה "התנהגות בלתי מורשית" פירושה הפעלת קוד תוכנית זדוני, או תוכנה זדונית, כדי לערער ולטפל בשליטה מרחוק כלשהי על המכשיר שלך.
מהתיאורים, אנו מניחים שהבאג הראשון דרש שיחה מחוברת לפני שניתן היה להפעיל אותו, בעוד שהבאג השני נשמע כאילו הוא יכול להיות מופעל בזמנים אחרים, למשל בזמן קריאת הודעה או צפייה בקובץ שכבר הורד למכשיר שלך .
אפליקציות ניידות מוסדרות בדרך כלל בצורה קפדנית הרבה יותר על ידי מערכת ההפעלה מאשר אפליקציות במחשבים ניידים או שרתים, שבהם קבצים מקומיים נגישים בדרך כלל למספר תוכניות, ובדרך כלל משותפים ביניהם.
זה, בתורו, אומר שהפשרה של אפליקציה יחידה לנייד מהווה בדרך כלל פחות סיכון מאשר התקפת תוכנה זדונית דומה על המחשב הנייד שלך.
במחשב הנייד שלך, למשל, נגן הפודקאסט שלך יכול כנראה להציץ במסמכים שלך כברירת מחדל, גם אם אף אחד מהם אינו קבצי אודיו, וסביר להניח שתוכנית הצילום שלך יכולה להסתובב בתיקיית הגיליון האלקטרוני שלך (ולהיפך).
עם זאת, במכשיר הנייד שלך, יש בדרך כלל הפרדה מחמירה הרבה יותר בין אפליקציות, כך שלפחות כברירת מחדל, נגן הפודקאסט שלך לא יכול לראות מסמכים, תוכנית הגיליון האלקטרוני שלך לא יכולה לעיין בתמונות שלך ואפליקציית התמונות שלך לא יכולה לראות קבצי אודיו או מסמכים.
עם זאת, אפילו גישה לאפליקציה בודדת "ארגז חול" והנתונים שלה יכולה להיות כל מה שתוקף רוצה או צריך, במיוחד אם האפליקציה הזו היא האפליקציה שבה אתה משתמש לתקשורת מאובטחת עם עמיתיך, חברים ובני משפחה, כמו WhatsApp.
תוכנות זדוניות של WhatsApp שיכולות לקרוא את הודעות העבר שלך, או אפילו רק את רשימת אנשי הקשר שלך, ותו לא, יכולה לספק אוצר של נתונים לפושעים מקוונים, במיוחד אם המטרה שלהם היא ללמוד יותר עליך ועל העסק שלך כדי למכור את זה. מידע פנימי על נוכלים אחרים ברשת האפלה.
באג תוכנה שפותח חורי אבטחת סייבר ידוע בשם א פגיעות, וכל התקפה שעושה שימוש מעשי בפגיעות ספציפית ידועה בשם an לנצל.
וכל פגיעות ידועה בוואטסאפ שעשויה להיות ניתנת לניצול למטרות חטטנות כדאית לתקן בהקדם האפשרי, גם אם אף אחד לא ימצא אי פעם ניצול עובד לגניבת נתונים או השתלת תוכנות זדוניות.
(לא כל נקודות התורפה בסופו של דבר ניתנות לניצול עבור RCE - באגים מסוימים מתגלים כקפריזיים מספיק שגם אם ניתן להפעיל אותם בצורה מהימנה כדי לעורר התרסקות, או שלילת שירות, לא ניתן לאלף אותם מספיק טוב כדי להשתלט לחלוטין על האפליקציה שהתרסקה.)
מה לעשות?
החדשות הטובות כאן הן שהבאגים הרשומים כאן ככל הנראה תוקנו לפני קרוב לחודש, למרות שהדיווחים האחרונים שראינו מרמזים שפגמים אלו מהווים סכנה ברורה ועכשווית למשתמשי WhatsApp.
כפי שמציין עמוד הייעוץ של WhatsApp, שני החורים כביכול "יום אפס" מטופלים בכל הטעמים של האפליקציה, הן עבור אנדרואיד והן עבור iOS, עם מספרי גרסאות 2.22.16.12 ואילך.
לפי חנות האפליקציות של אפל, הגרסה הנוכחית של WhatsApp ל-iOS (גם מסנג'ר וגם בטעמים עסקיים) כבר 2.22.19.78, עם חמישה עדכונים מתערבים שפורסמו מאז התיקון הראשון שתיקן את הבאגים שהוזכרו לעיל, שראשיתו כבר חודש אחורה.
ב-Google Play, WhatsApp כבר עובד 2.22.19.76 (הגרסה לא תמיד מתיישרת בדיוק בין מערכות הפעלה שונות, אבל לרוב קרובות).
במילים אחרות, אם הגדרתם את המכשיר שלכם לעדכון אוטומטי, אז הייתם צריכים לקבל תיקון נגד איומי WhatsApp אלה כבר כחודש.
כדי לבדוק את האפליקציות שהתקנת, מתי הן עודכנו לאחרונה ופרטי הגרסה שלהן, הכנס את ה חנות App אפליקציה ב-iOS, או בחנות Play על אנדרואיד.
הקש על סמל החשבון שלך כדי לגשת לרשימת האפליקציות שהתקנת במכשיר שלך, כולל פרטים על מתי הם עודכנו לאחרונה ומספר הגרסה הנוכחית שיש לך.
![S3 Ep130: פתח את דלתות המפרץ, HAL [שמע + טקסט]](https://platoblockchain.com/wp-content/uploads/2023/04/s3-ep130-open-the-garage-bay-doors-hal-audio-text-300x157.png "S3 Ep130: פתח את דלתות המפרץ, HAL [שמע + טקסט]")
