piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

WhatsAppの脆弱性CVE-2019-3568についてまとめてみた

2019年5月13日、メッセージングサービスを提供するWhatsAppは、ソフトウェアに深刻な脆弱性が存在するとしてセキュリティ情報を公開しました。Financial Timesなどの報道によればこの脆弱性を悪用した攻撃活動が既に確認されています。

WhatAppに深刻な脆弱性

Facebookが公開したセキュリティ情報をまとめると次の通り。

影響 VOIPのバッファオーバーフローの脆弱性。細工されたSRTCPパケットが標的の電話番号へ送信されるとリモートで任意のコードが実行される恐れ。
影響を受ける対象 以下より前のバージョンが影響を受ける。
・Android版(v2.19.134)
・WhatsApp Business for Android(v2.19.44)
・iOS版(v2.19.51)
・WhatsApp Business for iOS(v2.19.51)
・WhatsApp for Windows Phone(v2.18.348)
・WhatsApp for Tizen(v2.18.15)
脆弱性の名称 無し
CVE CVE-2019-3568
PoC 特定企業による脆弱性の利用が報じられている。
対策 最新バージョンへアップデートする。
スパイウェアが入り込んでいた場合アップデートでクリアになるかは不明。
  • WhatsAppがこの問題を認識したのは2019年5月初め。
  • 2019年5月10日にサーバー側修正がロールアウトし始め、13日にユーザーへ修正版を公開。
  • 標的への攻撃は電話をかけるだけ。対象が電話に出る必要はなく不在着信だけで攻撃が成功する。
  • 攻撃をする電話発信は通信履歴から消えてしまう場合もある。
  • NCSCがWhatsAppの脆弱性について注意を呼びかけ
  • WhatsAppは情報公開前に米司法省、Citizen Labや人権擁護団体と情報共有していた。

NSO Groupのスパイウェアで悪用か

f:id:piyokango:20190515021648p:plain
(NSO GroupのWebサイト)

  • Financial TimesなどはNSO Groupが開発する「Pegusus」にこの脆弱性が利用されていたと報道。
  • WhatApp側はNSO Groupを名指しで公表していない。
  • Pegasusは2016年にスマートフォンを標的とする当時最も洗練された攻撃を行うスパイウェア。*1
  • NSO Groupはイスラエルの民間企業で、諜報機関や国家へ販売を行っていると主張。
  • この脆弱性悪用による影響を受けた人数などは明らかになっていない。*2
  • 脆弱性悪用により入り込んだスパイウェアでアクセス可能な情報が何かが不明瞭。*3
  • NSO Groupは取材に対して次のコメントをしている。
    • 「犯罪やテロ対策」を目的として政府の認可を受けている。
    • NSO自身がシステムを運用しているわけではない。
    • 悪用疑念のある事例は全て調査し、必要に応じシステム停止の措置を講じる。
    • NSO自体が活動に係ることはなく、個人や組織を標的に利用できない、また利用したこともない。*4

Citizen Labの分析

  • 2019年5月12日日曜日、英国ロンドンに拠点を置く弁護士へ2回の着信があった。*5
  • WhatAppとCitizen Labの共同調査によりこれが攻撃の一部であったと特定。
  • WhatsApp側が当日に修正をしていたことから攻撃は失敗した。
  • 職業上の理由から攻撃を受けた弁護士は匿名。

更新履歴

  • 2019年5月15日 AM 新規作成