如果您使用 WhatsApp,请尽快更新您的应用程序。一个严重的缺陷使得只需发起 VoIP 语音通话就可以远程秘密入侵任何智能手机,无论是 iOS 还是 Android。目标人员甚至不需要接听这个电话。
这不仅仅是一个理论。据英国《金融时报》报道,上周日,以色列出版商 NSO 的一名客户利用这一漏洞,在一名英国人权捍卫者的智能手机上安装了可怕的 Pegasus 间谍软件。 WhatsApp 阻止了这次攻击,该公司于 5 月初发现了该漏洞,并已在其服务器上部署了补丁。 WhatsApp 客户端软件更新现已发布。
目前尚不清楚有多少智能手机可能因这一缺陷而被 Pegasus 感染。安装后,该间谍软件可以窃取电子邮件、短信和照片等。它还可以实时访问麦克风和摄像头。该恶意软件于 2016 年进行了分析CitizenLab 和 Lookout 的研究人员,在 iPhone 5s 上拿起阿联酋人权捍卫者艾哈迈德·曼苏尔 (Ahmed Mansoor) 的副本后。的公民实验室搜索还显示,Pegasus 被安装在一名加拿大裔沙特活动人士的设备上,以及至少 25 部墨西哥智能手机上,其中包括记者、律师和政客。
VoIP 信令协议中的缺陷
在此之前,该软件使用了连续三个零日漏洞来破解设备,并要求目标单击 HTML 链接。这样的话,显然就简单多了。我们尚不知道该缺陷的所有技术细节。一个安全警报尽管如此,Facebook 发布的消息表明该漏洞存在于 SRTCP(安全实时控制协议)中,该协议是 WhatsApp 用于 VoIP 通信的信令协议。据 Facebook 称,发送一系列特殊格式的 SRTCP 数据包可能导致缓冲区溢出,从而远程执行任意代码。
