Facebook telah memperbaiki kerentanan zero-day WhatsApp yang dapat dan telah dieksploitasi untuk menginstal spyware secara remote dengan menelepon perangkat yang ditargetkan.
Kerentanan ini, yang dilacak sebagai CVE-2019-3568, telah digambarkan oleh Facebook sebagai buffer overflow di WhatsApp VOIP stack. Celah keamanan memungkinkan penyerang untuk mengeksekusi kode arbitrer secara remote dengan mengirimkan paket SRTCP yang dibuat khusus ke nomor telepon yang ditargetkan.
Facebook membahas kerentanan pada hari Senin dengan merilis WhatsApp untuk Android 2.19.134, WhatsApp Business untuk Android 2.19.44, WhatsApp untuk iOS 2.19.51, WhatsApp Business untuk iOS 2.19.51, WhatsApp untuk Windows Phone 2.18.348, dan WhatsApp untuk Tizen 2.18.15. Versi-versi yang sebelumnya terpengaruh akan kerentanan ini, dan perbaikan sisi server diimplementasikan pada hari Jumat.
Menurut Financial Times, kerentanan telah dieksploitasi untuk menginstal spyware yang dibuat oleh NSO Group yang berbasis di Israel, sebuah perusahaan kontroversial yang produknya telah digunakan untuk memata-matai kelompok-kelompok hak asasi manusia, aktivis, pengacara dan jurnalis. Alat-alatnya – yang paling terkenal adalah Pegasus (untuk iOS) dan Chrysaor (untuk Android) – menyediakan berbagai kemampuan mata-mata, dikabarkan seringkali mengeksploitasi kerentanan zero-day.
FT melaporkan bahwa eksploitasi melibatkan pemanggilan perangkat yang ditargetkan melalui WhatsApp, tetapi korban tidak perlu menjawab agar kerentanan dipicu, dan panggilan masuk tersebut dikatakan telah menghilang dari log.
Publikasi mengatakan salah satu korban adalah pengacara yang tidak disebutkan namanya yang berbasis di Inggris, yang menjadi sasaran pada 12 Mei. Pengacara terlibat dalam gugatan yang diajukan terhadap NSO oleh individu yang ditargetkan dengan spyware perusahaan.
WhatsApp tidak menyebut entitas yang mengeksploitasi CVE-2019-3568, tetapi menggambarkannya sebagai “aktor cyber canggih” yang menargetkan “sejumlah pengguna terpilih.”
“Serangan itu memiliki semua keunggulan perusahaan swasta yang dilaporkan bekerja dengan pemerintah untuk mengirimkan spyware yang mengambil alih fungsi sistem operasi ponsel,” kata WhatsApp.
NSO, yang mengklaim hanya menyediakan produknya ke lembaga pemerintah, membantah menggunakan perangkat lunaknya sendiri untuk menargetkan pengacara Inggris atau siapa pun.
“NSO tidak akan, atau tidak bisa, menggunakan teknologinya sendiri untuk menargetkan orang atau organisasi, termasuk individu ini,” katanya.
