在过去的一两天里,我们的新闻提要中充斥着关于 WhatsApp 的警告。
我们看到许多报告链接到两条推文,声称 WhatsApp 中存在两个零日安全漏洞,它们的错误 ID 为 CVE-2022-36934 和 CVE-2022-27492.
一篇显然基于这些推文的文章气喘吁吁地坚称这些不仅是零日漏洞,而且它们是在内部发现并由 WhatsApp 团队自己修复的。
然而,根据定义,一个 零日 指的是攻击者在补丁可用之前发现并想出如何利用的漏洞,因此即使是最积极主动的系统管理员也可能在零天之内领先于补丁。
换句话说,声明一个错误是零日漏洞的整个想法(通常只写一个数字,如 0天) 是为了让人们相信补丁至少和以往一样重要,也许比这更重要,因为安装补丁更多的是一个追赶骗子的问题,那就是保持在他们面前。
如果开发人员自己发现了一个错误并在他们的下一次更新中自行修补它,这不是零日,因为好人首先到达那里。
同样,如果安全研究人员遵循以下原则 负责任的披露,他们向供应商透露新错误的详细信息,但同意在约定的时间段内不发布这些详细信息,以便让供应商有时间创建补丁,这不是零日。
为发布漏洞报告设定负责任的披露截止日期有两个目的,即研究人员最终可以为这项工作赢得荣誉,同时阻止供应商将问题隐藏在地毯下,因为它知道无论如何它都会被淘汰到底。
那么,真相是什么?
WhatsApp 目前是否受到网络犯罪分子的积极攻击? 这是一个明确且当前的危险吗?
WhatsApp 用户应该有多担心?
如有疑问,请咨询咨询
据我们所知,目前流传的报告是基于直接来自 WhatsApp 自己的 2022 年的信息 安全咨询页面,上面写着 [2022-09-27T16:17:00Z]:
WhatsApp 安全公告 2022 年更新 2022 月更新 CVE-36934-2.22.16.12 在 v2.22.16.12 之前的 Android 版、v2.22.16.12 之前的 Android 版、v2.22.16.12 版之前的 iOS、iOS 版的商业版中的整数溢出在 v2022 之前,可能会导致在已建立的视频通话中执行远程代码。 CVE-27492-2.22.16.2 WhatsApp for Android v2.22.15.9 之前的整数下溢,WhatsApp for iOS vXNUMX 在接收精心制作的视频文件时可能导致远程代码执行。
这两个错误都被列为可能导致 远程代码执行,或简称为 RCE,这意味着陷阱数据可能会迫使应用程序崩溃,并且熟练的攻击者可能能够操纵崩溃的情况以触发未经授权的行为。
通常,当涉及 RCE 时,“未经授权的行为”意味着运行恶意程序代码或恶意软件,以颠覆并对您的设备进行某种形式的远程控制。
根据描述,我们假设第一个错误需要连接呼叫才能触发,而第二个错误听起来好像可以在其他时间触发,例如在阅读消息或查看已下载到您设备的文件时.
与笔记本电脑或服务器上的应用程序相比,移动应用程序通常受到操作系统更严格的监管,在笔记本电脑或服务器上,本地文件通常可供多个程序访问,并且通常在多个程序之间共享。
反过来,这意味着单个移动应用程序的入侵通常比笔记本电脑上的类似恶意软件攻击带来的风险要小。
例如,在您的笔记本电脑上,您的播客播放器可能会默认查看您的文档,即使它们都不是音频文件,并且您的照片程序可能会在您的电子表格文件夹中四处寻找(反之亦然)。
然而,在您的移动设备上,应用程序之间通常有更严格的分隔,因此,至少在默认情况下,您的播客播放器无法查看文档,电子表格程序无法浏览您的照片,而您的照片应用程序也不能查看音频文件或文档。
然而,即使访问单个“沙盒”应用程序及其数据也可能是攻击者想要或需要的全部内容,特别是如果该应用程序是您用于与同事、朋友和家人进行安全通信的应用程序,例如 WhatsApp。
WhatsApp 恶意软件可以读取您过去的消息,甚至只是您的联系人列表,而没有其他内容,可以为在线犯罪分子提供数据宝库,特别是如果他们的目标是更多地了解您和您的业务以便出售暗网上其他骗子的内部信息。
打开网络安全漏洞的软件错误被称为 漏洞,任何实际利用特定漏洞的攻击都被称为 利用.
WhatsApp 中任何可用于窥探目的的已知漏洞都值得尽快修补,即使没有人发现用于窃取数据或植入恶意软件的有效漏洞。
(并非所有漏洞最终都可用于 RCE - 一些漏洞被证明是非常反复无常的,即使它们可以可靠地被触发以引发崩溃,或者 拒绝服务,它们不能被驯服到完全接管崩溃的应用程序。)
怎么办呢?
好消息是,这里列出的漏洞显然是在一个月前修复的,尽管我们看到的最新报告暗示这些漏洞对 WhatsApp 用户来说是一个明显且当前的危险。
正如 WhatsApp 咨询页面所指出的,这两个所谓的“零日”漏洞已在应用程序的所有版本中进行了修补,适用于 Android 和 iOS,并带有版本号 2.22.16.12或更高版本.
根据 Apple 的 App Store,iOS 版 WhatsApp(Messenger 和 Business 版本)的当前版本已经 2.22.19.78,自第一个修补上述错误的修复程序以来发布了五个中间更新,该修复程序已经可以追溯到一个月前。
在 Google Play 上,WhatsApp 已经达到 2.22.19.76 (版本并不总是在不同的操作系统之间完全对齐,但通常很接近)。
换句话说,如果您已将设备设置为自动更新,那么您应该已经针对这些 WhatsApp 威胁进行了大约一个月的修补。
要查看您已安装的应用程序、上次更新时间及其版本详细信息,请点击 App Store iOS 上的应用程序,或 Play商店 在Android上。
点击您的帐户图标以访问您在设备上安装的应用程序列表,包括上次更新时间和您拥有的当前版本号的详细信息。
![S3 Ep103:Slammer 中的骗子(及其他故事)[音频 + 文本] PlatoBlockchain 数据智能。 垂直搜索。 人工智能。](https://platoblockchain.com/wp-content/uploads/2022/10/s3-ep103-cover-1200-360x188.png "S3 Ep103:Slammer 中的诈骗者(和其他故事)[音频 + 文字]")
![S3 Ep93:办公室安全、违规成本和悠闲补丁 [音频 + 文本] PlatoBlockchain 数据智能。 垂直搜索。 哎。](https://platoblockchain.com/wp-content/uploads/2022/07/s3-ep93-1200-300x157.png "S3 Ep93:办公室安全、违规成本和悠闲补丁 [音频 + 文本]")
![S3 Ep123:加密公司妥协混乱 [音频 + 文本]](https://platoblockchain.com/wp-content/uploads/2023/02/s3-ep123-crypto-company-compromise-kerfuffle-audio-text-300x156.png "S3 Ep123:加密公司妥协混乱 [音频 + 文本]")
