如果您使用 WhatsApp,請盡快更新您的應用程式。一個嚴重的缺陷使得只需發起 VoIP 語音通話就可以遠端秘密入侵任何智慧型手機,無論是 iOS 還是 Android。目標人員甚至不需要接聽這通電話。
這不僅僅是一個理論。根據英國《金融時報》報道,上週日,以色列出版商 NSO 的一名客戶利用這一漏洞,在一名英國人權捍衛者的智慧型手機上安裝了可怕的 Pegasus 間諜軟體。 WhatsApp 阻止了這次攻擊,該公司於 5 月初發現了該漏洞,並已在其伺服器上部署了修補程式。 WhatsApp 用戶端軟體更新現已發布。
目前尚不清楚有多少智慧型手機可能因這一缺陷而被 Pegasus 感染。安裝後,該間諜軟體可以竊取電子郵件、簡訊和照片等。它還可以即時存取麥克風和攝影機。該惡意軟體於 2016 年進行了分析CitizenLab 和 Lookout 的研究人員,在 iPhone 5s 上拿起阿聯酋人權捍衛者艾哈邁德·曼蘇爾 (Ahmed Mansoor) 的副本後。的公民實驗室搜索還顯示,Pegasus 被安裝在一名加拿大裔沙烏地阿拉伯活動人士的設備上,以及至少 25 部墨西哥智慧型手機上,其中包括記者、律師和政客。
VoIP 訊號協定中的缺陷
在此之前,該軟體使用了連續三個零日漏洞來破解設備,並要求目標點擊 HTML 連結。這樣的話,顯然就簡單多了。我們尚不知道該缺陷的所有技術細節。一個安全警報儘管如此,Facebook 發布的消息表明該漏洞存在於 SRTCP(安全即時控制協定)中,該協定是 WhatsApp 用於 VoIP 通訊的信令協定。據 Facebook 稱,發送一系列特殊格式的 SRTCP 資料包可能導致緩衝區溢出,從而遠端執行任意程式碼。
