A Whatsapp nemrég hozta nyilvánosságra a sérülékenységet, ami lehetővé teszi a hackereknek, hogy kormányzati szervek által is használt kémprogramot telepítsenek a telefonunkra egy hívás segítségével, függetlenül attól, hogy felvesszük-e a hívást. 

A hiba egy Buffer Overflow sérülékenység a Whatsapp VOIP stack-jében (hanghívás), melynek során a támadó SRTCP csomagokat küld a támadott telefonszámnak és ennek segítségével kódot tud végrehajtani az áldozat telefonján (Remote Code Execution).

Az exploit installálja az izraeli eredetű NSO Group által fejlesztett kémprogramot a Pegasus-t. A biztonsági hibát befoltozták, de a facebook mindenkit arra kér, hogy frissítse a Whatsapp-ot és a telefonja operációs rendszerét is.

Ez a biztonsági hiba igen súlyos, főleg mivel még nem bukkant fel nyilvános fórumokon az exploit, így nem tudni, hogy pontosan mit csinál és hogy milyen szenzitív adatok kerülhettek illetéktelenek kezébe. 

Amit biztosan tudunk, hogy a hiba felfedezése után 10 nap kellett a hiba befoltozására. Egy biztonságra és a privát szféra védelmére alapozó alkalmazás számára az ilyen súlyosságú hibák akár végzetesek is lehetnek, hiszen a felhasználók elvesztik bizalmukat.

A facebook kapcsolatba lépett az állami szervekkel, akik vizsgálatot indítottak az ügyben. Az NSO Group azt nyilatkozta, hogy belső vizsgálatot indítanak és jelenleg nem nyilatkoznak az ügyben.

További érdekességekért kövesd a blogot és csatlakozz a facebook csoportunkhoz vagy oldalunkhoz.

Kép forrása: pexels.com