Financial Times publikoi se ekziston një cënueshmëri kritike në aplikacionin e njohur të mesazheve WhatsApp, ku nëpërmjet të cilit injektohet spyware në telefonat e viktimave. Sipas raportit, sulmuesit duhet vetëm të lëshojnë thirrje të posaçme të VoIP për viktimën në mënyrë që ta infektojnë atë pa ndërveprimin e përdoruesit të kërkuar që sulmi të ketë sukses. Ashtu si WhatsApp përdoret nga 1.5 miliardë njerëz në mbarë botën, si në telefonat Android ashtu edhe në iPhone, aplikimi i mesazheve dhe zërit është i njohur si një objektiv popullor për hacker-at dhe qeveritë.
Menjëherë pasi u botua publikimi, Check Point Research filloi analizimi i detajeve të referuar si CVE-2019-3568. Këtu është analiza teknike për të shpjeguar se si ka ndodhur.

Detajet Teknike

Këshillimi i Facebook-ut e përshkruan atë si një "buffer overflow vulnerability" në protokollin SRTCP, kështu që filluan me patch-diffing versionin e ri të WhatsApp për android (v2.19.134, program 32-bit) në kërkim për një kod korrespondues. Në modulin e SRTCP u rregulluan dy kode :
Size Check #1
“Patch” është një funksion i rëndësishëm i protokollit RTCP. Kontrolli ka të bëjë me verifikimin e gjatësisë se argumentit ndaj një madhësie maksimale prej 1480 byte (0x5C8).



Size Check #2
Në rrjedhën e dy funksioneve në shohim se gjatësia e njejtë e variablit është përdorur dy herë gjatë check-imit të shtesës së re ( shënuar me blu)

1- Validimi që fusha e gjatësisë së paketës nuk e kalon gjatësinë.
2- Kontroll I shtuar që gjatësia është përsëri <=1480, përpara se të bëhet copy në memorie




Siç mund të shihet, kontrolli i dytë përfshin një varg të sapo shtuar log-esh, pra është një kontroll në flow për të shmangur një overflow.

Përfundimi:


WhatsApp zbatoi implementimin e tij të protokollit kompleks SRTCP, dhe e implementuan atë në Native Code psh. C/C++ dhe jo JAVA. Gjatë analizimit të patch-it të CVE-2019-3568, zbuluam dy kontrolle madhësisë të shtuar që janë përshkruar si kontrolle të rregullta në overflow të memories gjatë analizimit dhe trajtimit të paketave të rrjetit.
Meqë i gjithë moduli SRTCP është mjaft i madh, mund të ketë akoma patch-e shtesë që kemi humbur. Përveç kësaj, duke gjykuar nga natyra e cenueshmërisë dhe nga kompleksiteti i modulit të përmendur, ekziston gjithashtu mundësi për dobësi të panjohura të analizës në këtë modul.
LINK: https://research.checkpoint.com/the-nso-whatsapp-vulnerability-this-is-how-it-happened/