WhatsApp漏洞允许在智能手机上安装间谍软件

Facebook拥有的消息传递巨头WhatsApp已经证实了一个漏洞，该漏洞允许黑客在智能手机上安装间谍软件。

虽然WhatsApp作为一个简单的消息应用程序开始生活，但它已经扩展到各种通信方式 - 包括自2015年初以来提供的语音呼叫。根据英国“金融时报”的一篇报道，以色列网络情报公司NSO开发的恶意代码可以通过WhatsApp语音通话功能的漏洞传递给用户的手机。无论收件人是否接听电话，都可以部署代码。

Facebook昨晚深夜发布了此更新，其中包含有关此漏洞的详细信息，并说：

WhatsApp VOIP堆栈中的缓冲区溢出漏洞允许通过发送到目标电话号码的特制SRTCP数据包远程执行代码。

总部位于特拉维夫的国家统计局长期以来一直陷入对其移动监控技术发展的争议中，据称该公司向政府机构出售“预防和调查恐怖主义和犯罪以拯救全球数千人的生命”。

过去几年的一些报告表明，该技术已被用于针对记者和人权活动家。早在2016年，在NSO的技术显然被用于瞄准人权活动家艾哈迈德曼索尔的iPhone之后，苹果发布了iOS更新以修补安全漏洞。

NSO的核心产品Pegasus本质上是间谍软件，它可以刮取电子邮件和短信，跟踪呼叫，访问设备的位置，以及激活手机的麦克风和摄像头。值得注意的是，尽管在这种情况下使用WhatsApp来分发Pegasus，但WhatsApp消息(加密的)并未受到影响。

定时

一位发言人向VentureBeat证实，WhatsApp在5月初发现了该漏洞，并于上周末开始对其基础设施进行修复。虽然单独的后端修复应该修复了漏洞，但该公司仍然建议用户将WhatsApp更新为以下最新版本：

WhatsApp for Android：v2.19.134

WhatsApp Business for Android：v2.19.44

适用于iOS的WhatsApp：v2.19.51

适用于iOS的WhatsApp Business：v2.19.51

WhatsApp for Windows Phone：v2.18.348

WhatsApp for Tizen：v2.18.15。

“WhatsApp鼓励人们升级到我们应用的最新版本，并保持他们的移动操作系统最新，以防止潜在的目标攻击，旨在危害存储在移动设备上的信息，”一位发言人告诉VentureBeat。“我们一直与行业合作伙伴一起提供最新的安全增强功能，以帮助保护我们的用户。”

这一消息的时机非常明显，因为国家统计局在以色列因出售监控技术而面临法律纠纷，以监督可能滥用该技术的政府。大赦国际和纽约大学(纽约大学)今天正在特拉维夫地区法院提交请愿书，以支持现有法律诉讼，要求国防部(MoD)撤销国家统计局的出口许可证。

“以色列国防部忽视了将国家统计局集团与人权维护者的攻击联系起来的越来越多的证据，这就是我们支持这一案件的原因，”Amnesty Tech副主任Danna Ingleton指出。“国家统计局集团将其产品销售给以恶意侵犯人权而闻名的政府，为他们提供跟踪活动家和评论家的工具。只要像Pegasus这样的产品在没有适当控制和监督的情况下上市，大赦国际的员工以及世界各地其他活动家，记者和持不同政见者的权利和安全就会受到威胁。“

根据英国“金融时报”的报道，最近一名驻英国的人权律师最近在周日利用WhatsApp的攻击目标 - 据报道，这位律师帮助记者和其他活动人士起诉以色列的国家统计局。看来WhatsApp上周推出的安全措施可能阻止了攻击的成功。

WhatsApp的一位发言人证实，该公司相信一些人已经成为这种方式的目标，并向几个人权组织介绍了此事，并告知美国执法部门。

在发给英国“金融时报”的声明中，国家统计办公室否认对WhatsApp漏洞最近的目标有任何了解。

该公司表示，“在任何情况下，NSO都不会参与其技术目标的运营或识别，该技术仅由情报和执法机构运营。”“国家统计办公室不会或不能以其自身的权利利用其技术瞄准任何个人或组织，包括这个人[英国律师]。”

标签： WhatsApp