De afgelopen twee dagen bruist onze nieuwsfeed van waarschuwingen over WhatsApp.
We zagen veel rapporten die linken naar twee tweets die beweerden dat er twee zero-day beveiligingslekken in WhatsApp waren, waarbij hun bug-ID's als CVE-2022-36934 en CVE-2022-27492.
Een artikel, dat blijkbaar op die tweets was gebaseerd, beweerde ademloos dat het niet alleen zero-day-bugs waren, maar ook dat ze intern waren ontdekt en verholpen door het WhatsApp-team zelf.
Per definitie is echter een zero-day verwijst naar een bug die aanvallers ontdekten en ontdekten hoe ze konden misbruiken voordat een patch beschikbaar was, zodat er nul dagen waren waarop zelfs de meest proactieve systeembeheerder met de meest vooruitstrevende houding ten opzichte van patching het spel voor kon zijn.
Met andere woorden, het hele idee om te stellen dat een bug een zero-day is (vaak geschreven met slechts een cijfer, als 0-dag) is om mensen ervan te overtuigen dat de patch minstens zo belangrijk is als altijd, en misschien wel belangrijker dan dat, omdat het installeren van de patch meer een kwestie is van het inhalen van de boeven dan van het voorhouden.
Als ontwikkelaars zelf een bug ontdekken en deze uit eigen beweging patchen in hun volgende update, is het geen zero-day, want de Good Guys waren er het eerst.
Evenzo, als beveiligingsonderzoekers het principe volgen van: verantwoorde openbaarmaking, waar ze de details van een nieuwe bug aan een leverancier onthullen, maar afspreken om die details gedurende een afgesproken periode niet te publiceren om de leverancier de tijd te geven om een patch te maken, is het geen zero-day.
Het instellen van een verantwoorde openbaarmakingsdeadline voor het publiceren van een beschrijving van de bug heeft twee doelen, namelijk dat de onderzoeker uiteindelijk de eer krijgt voor het werk, terwijl de verkoper wordt verhinderd het probleem onder het tapijt te vegen, wetende dat het hoe dan ook naar buiten zal worden gebracht uiteindelijk.
Dus, wat is de waarheid?
Wordt WhatsApp momenteel actief aangevallen door cybercriminelen? Is dit een duidelijk en actueel gevaar?
Hoe bezorgd moeten WhatsApp-gebruikers zijn?
Raadpleeg bij twijfel het advies
Voor zover we kunnen nagaan, zijn de rapporten die momenteel circuleren gebaseerd op informatie rechtstreeks uit WhatsApp's eigen 2022 pagina met beveiligingsadvies, die zegt [2022-09-27T16:17:00Z]:
WhatsApp-beveiligingsadviezen 2022 Updates September-update CVE-2022-36934 Een geheeltallige overloop in WhatsApp voor Android vóór v2.22.16.12, Business voor Android vóór v2.22.16.12, iOS vóór v2.22.16.12, Business voor iOS vóór v2.22.16.12 kan leiden tot uitvoering van externe code in een tot stand gebracht videogesprek. CVE-2022-27492 Een geheeltallige underflow in WhatsApp voor Android vóór v2.22.16.2, WhatsApp voor iOS v2.22.15.9 kan leiden tot uitvoering van externe code bij ontvangst van een vervaardigd videobestand.
Beide bugs worden vermeld als mogelijk leidend tot: uitvoering van externe code, of kortweg RCE, wat betekent dat boobytrap-gegevens de app kunnen dwingen te crashen, en dat een ervaren aanvaller de omstandigheden van de crash zou kunnen manipuleren om ongeoorloofd gedrag onderweg uit te lokken.
Wanneer er een RCE bij betrokken is, betekent dat "ongeautoriseerde gedrag" meestal het uitvoeren van kwaadaardige programmacode of malware om uw apparaat te ondermijnen en enige vorm van afstandsbediening over te nemen.
Uit de beschrijvingen nemen we aan dat de eerste bug een verbonden oproep vereiste voordat deze kon worden geactiveerd, terwijl de tweede bug klinkt alsof deze op andere momenten kan worden geactiveerd, bijvoorbeeld tijdens het lezen van een bericht of het bekijken van een bestand dat al naar uw apparaat is gedownload .
Mobiele apps worden meestal veel strenger gereguleerd door het besturingssysteem dan apps op laptops of servers, waar lokale bestanden over het algemeen toegankelijk zijn voor en vaak worden gedeeld tussen meerdere programma's.
Dit betekent op zijn beurt dat het compromitteren van een enkele mobiele app over het algemeen minder risico met zich meebrengt dan een vergelijkbare malware-aanval op uw laptop.
Op je laptop kan je podcastspeler bijvoorbeeld standaard naar je documenten kijken, ook al zijn het geen audiobestanden, en je fotoprogramma kan waarschijnlijk rondscharrelen in je spreadsheetmap (en vice versa).
Op uw mobiele apparaat is er echter meestal een veel striktere scheiding tussen apps, zodat uw podcastspeler standaard geen documenten kan zien, uw spreadsheetprogramma niet door uw foto's kan bladeren en uw foto-app niet zie audiobestanden of documenten.
Maar zelfs toegang tot een enkele 'sandbox'-app en de gegevens ervan kan alles zijn wat een aanvaller wil of nodig heeft, vooral als die app degene is die je gebruikt om veilig te communiceren met je collega's, vrienden en familie, zoals WhatsApp.
WhatsApp-malware die uw eerdere berichten kan lezen, of zelfs alleen uw lijst met contacten, en niets anders, kan een schat aan gegevens opleveren voor online criminelen, vooral als het hun doel is om meer over u en uw bedrijf te weten te komen om dat te kunnen verkopen voorwetenschap doorsturen naar andere boeven op het dark web.
Een softwarefout die gaten in de cyberbeveiliging opent, staat bekend als a kwetsbaarheid, en elke aanval die praktisch gebruik maakt van een specifieke kwetsbaarheid staat bekend als an exploiteren.
En elke bekende kwetsbaarheid in WhatsApp die kan worden misbruikt voor snuffeldoeleinden, is de moeite waard om zo snel mogelijk te patchen, zelfs als niemand ooit een werkende exploit ontdekt voor het stelen van gegevens of het implanteren van malware.
(Niet alle kwetsbaarheden kunnen uiteindelijk worden misbruikt voor RCE - sommige bugs blijken voldoende grillig te zijn om zelfs als ze op betrouwbare wijze kunnen worden geactiveerd om een crash uit te lokken, of denial of service, ze kunnen niet goed genoeg getemd worden om de gecrashte app volledig over te nemen.)
Wat te doen?
Het goede nieuws hier is dat de hier vermelde bugs blijkbaar bijna een maand geleden zijn gepatcht, hoewel de laatste rapporten die we hebben gezien impliceren dat deze fouten een duidelijk en actueel gevaar vormen voor WhatsApp-gebruikers.
Zoals de WhatsApp-adviespagina aangeeft, zijn deze twee zogenaamde "zero-day" -gaten gepatcht in alle smaken van de app, voor zowel Android als iOS, met versienummers 2.22.16.12 of hoger.
Volgens Apple's App Store is de huidige versie van WhatsApp voor iOS (zowel Messenger als Business-varianten) al 2.22.19.78, met vijf tussentijdse updates die zijn uitgebracht sinds de eerste fix die de bovengenoemde bugs heeft gepatcht, die al een maand oud is.
Op Google Play is WhatsApp al klaar 2.22.19.76 (versies komen niet altijd exact overeen tussen verschillende besturingssystemen, maar komen vaak in de buurt).
Met andere woorden, als je je apparaat hebt ingesteld om automatisch te updaten, dan zou je al ongeveer een maand gepatcht moeten zijn tegen deze WhatsApp-bedreigingen.
Om te controleren welke apps u hebt geïnstalleerd, wanneer ze voor het laatst zijn bijgewerkt en hun versiegegevens, gaat u naar de App Store app op iOS, of Play Store op Android.
Tik op je accountpictogram om toegang te krijgen tot de lijst met apps die je op je apparaat hebt geïnstalleerd, inclusief details over wanneer ze voor het laatst zijn bijgewerkt en het huidige versienummer dat je hebt.
