Taggat med: WhatsApp

Kritiska sårbarheter i WhatsApp

WhatsApp har gått ut med en uppdatering gällande två nya sårbarheter som går att utnyttja för att ta över en mobiltelefon.

Sårbarheterna går att utnyttja om en användare av WhatsApp tar emot ett videosamtal eller videofil. Sårbarheterna gäller både iOS och Android-baserade enheter. CVSS är är 9.8 vilket är mycket allvarligt.

För att åtgärda sårbarheten behöver du uppdatera till version 2.22.16.12 eller nyare. Det är i dagsläget oklart huruvida dessa två sårbarheter utnyttjas aktivt.

Följande CVE har tilldelats: CVE-2022-36934 och CVE-2022-27492. För mer information se WhatsApps hemsida eller NIST NVD.

WhatsApp Security Advisories

2022 Updates

September Update

CVE-2022-36934

An integer overflow in WhatsApp for Android prior to v2.22.16.12, Business for Android prior to v2.22.16.12, iOS prior to v2.22.16.12, Business for iOS prior to v2.22.16.12 could result in remote code execution in an established video call.

CVE-2022-27492

An integer underflow in WhatsApp for Android prior to v2.22.16.2, WhatsApp for iOS v2.22.15.9 could have caused remote code execution when receiving a crafted video file.

Google identifierar ny avancerad attack mot iPhones

Googles Threat Analysis Group (TAG) har identifierat en ny watering hole attack som riktar sig mot iPhone-användare. Attacken är intressant på många sätt, bl.a. så uppger Google att attacken inriktas mot en viss typ av grupp samt att det faktum att fem olika exploit-kedjor används för att ta sig in i iPhones. För en säkerhetsforskare som tar fram en enda exploit-kedja och säljer den till företag såsom Zerodium kan ge upp mot 19 miljoner SEK enligt deras publika prislista.

Gällande exploit-kedjor så anger TAG följande:

seven for the iPhone’s web browser, five for the kernel and two separate sandbox escapes. Initial analysis indicated that at least one of the privilege escalation chains was still 0-day and unpatched at the time of discovery (CVE-2019-7287 & CVE-2019-7286)

När väl dessa sårbarheter utnyttjas så installeras sedan ett implantat som har möjlighet att läsa ut meddelanden ur end-to-end krypterade appar såsom iMessage, Whatsapp och Telegram. Även så kan detta implantat följa iPhone-användaren i realtid via GPS-koordinater som skickas till en Command and Control-server.

Just kommunikationen till C&C-servern går via HTTP och ej HTTPS vilket är annorlunda. Även kan dessa unika strängar användas för att identifiera kommunikation på nätverket:

  • 9ff7172192b7
  • /list/suc?name=

Ovan två förfrågningar går över HTTP GET alternativt POST.

Spekulationer om vem som ligger bakom dessa avancerade attacker riktas mot Kina eller grupperingar kopplade till Kina främst på grund av de omfattande sårbarheterna som utnyttjas mot iPhone samt att företaget Tencent är ett företag vars appar kontrolleras:

  • com.yahoo.Aerogram
  • com.microsoft.Office.Outlook
  • com.netease.mailmaster
  • com.rebelvox.voxer-lite
  • com.viber
  • com.google.Gmail
  • ph.telegra.Telegraph
  • com.tencent.qqmail
  • com.atebits.Tweetie2
  • net.whatsapp.WhatsApp
  • com.skype.skype
  • com.facebook.Facebook
  • com.tencent.xin

Google har själva också varit sparsamma med information gällande implantatet som installeras exempelvis har ingen information om C&C-servrar publicerats. Detta troligtvis eftersom en större utredning pågår av amerikanska myndigheter.

Uppdatering: Enligt källor till TechCrunch är det Uigurer som är målet.

CIA Vault7 läcka från Wikileaks

Jag tänkte kommentera gällande den senaste läckan från Wikileaks som inkluderar en stor mängd olika cyber-relaterade verktyg, metoder etc från vad som sägs är CIA.

Läckan ser ut att komma från något inom CIA som heter devlan.net och är troligtvis ett utvecklingsnätverk för cybervapen. Eftersom CIA till skillnad från NSA bedriver HUMINT så kräver majoriteten av verktygen fysisk access till enheten.

Det ser inte ut att finnas några överdrivna referenser till zero-days och generellt håller det som är läckt inte den högsta tekniska förmågan. Läckan innehåller även referenser till skadlig kod som CIA troligtvis installerar och antivirus-företagen är redan på att skriva signaturer för att identifiera CIA:s verktyg.

Viktigt också att tillägga är att om du kan ta dig in på en mobiltelefon genom att utnyttja sårbarheter så kommer du givetvis också åt applikationer såsom WhatsApp och Signal.

Även så finns det referenser till att CIA kan installera verktyg för att avlyssna via en vanlig Samsung Smart-TV. Och även detta kräver troligtvis fysisk access till TV:n innan eller när den införskaffas.

Läckan inträffade under förra året och de läcka filterna troligtvis varit tillgänglig för andra sedan tidigare. Den innehåller 8761 dokument och filer men inte så många binärer annat än ett fåtal exe-filer och python-kod.

Kommentar som återfinnes i läckan:

What did Equation do wrong, and how can we avoid doing the same?

Chatt-appen som spelade en vital roll i turkiska kuppförsöket

byLock turkiet
En chatt-app vid namn ByLock spelade en vital roll vid kuppförsöket i Turkiet. Appen fanns till både Android och Iphone samt hade över 1 miljon nedladdningar under 2014.

Appen togs ned enligt utvecklaren på grund av det höga tryck men centrala servern fanns uppe i minst ett år efter att appen togs bort från Google Play samt AppStore.

Extreme security with your fingerprint . Your fingerprint encrypts your call. Use this application for secure communication. This application uses industry leading encryption techniques .. Super Secure Free Calls available

Utvecklaren står som ’David Keynes of Beaverton, Oregon’, en person som inte finns. Men även bloggen som innehåller uppdateringar om appen innehåller flertalet grammatiska fel. Säkerhetsfel fel återfinnes i appen såsom att meddelanden skickas i klartext till servern.

Att det är just denna app som gjorde att kuppmakarna kunde spåras bekräftas av Turkiska myndigheter som säger:

What I can say is that a large number of people identified via ByLock were directly involved in the coup attempt.

Senare gick kuppmakarna över till WhatsApp men genom fysisk tillgång till telefonen så kunde även meddelanden läsas i WhatsApp. Enligt turkisk media så användes WhatsApp för att genomföra truppförflyttningar med WhatsApp-grupper som hade tusentals samtidiga personer inloggade.

Skärmdumpar från appen byLock:

bylock 1bylock2