Google, Facebook и другие следят за пользователями на порносайтах, и режим инкогнито не помогает

Интересное исследование в журнале New Media & Society опубликовала сводная группа исследователей, в которую вошли Елена Марис (Elena Maris) из компании Microsoft, Тимоти Либерт (Timothy Libert) из Университета Карнеги-Мелона, а также Дженнифер Хенриксен (Jennifer Henrichsen) из Университета Пенсильвании.

Специалисты изучили 22 484 порносайта из топового миллиона по версии Alexa и проанализировали их исходный код в поисках правил конфиденциальности (privacy policy). В тексте этих документов исследователи поискали признаки того, что сайт может собирать данные о своих посетителях, а затем передавать собранную информацию третьим лицам.

Текст privacy policy удалось обнаружить на 3856 изученных сайтах (17% от общего числа). Среднее количество слов в таком документе равняется 1750, а на чтение уходит семь минут. При этом исследователи отмечают, что «для их понимания может потребоваться два года отучиться в колледже».

Однако далеко не все ресурсы для взрослых вообще имеют хоть какие-то правила конфиденциальности. Зачастую администраторы попросту добавляют в код различные следящие механизмы без ведома пользователей. В общей сложности эксперты определили 230 компаний, которые отслеживают пользователей, но чаще всего встречаются трекеры несколько крупных игроков, собирающие большую часть данных. Так, чаще всего на порносайтах исследователям попадались трекеры Google (они были найдены на 74% из 22 484 сайтов), exoClick (40%), Oracle (24%), JuicyAds (11%) и Facebook (10%).

Google, Facebook и другие следят за пользователями на порносайтах, и режим инкогнито не помогает

Эксперты пишут, что 93% страниц передают пользовательские данные третьим лицам, и в среднем собранная информация уходит на 7 разных доменов. Кроме того, 79% сайтов содержат следящие cookie (в среднем 9 файлов cookie на сайт). И лишь 17% ресурсов работают с использованием HTTPS.

Исследователи предупреждают, что одной из главных опасностей такой слежки является то, что следящие скрипты часто записывают URL страницы, которую помещает пользователь порносайта. Структура ссылок на многих ресурсах для взрослых (примерно на 45% сайтов) такова, что позволяет установить природу материала, который просматривал человек. Получается, что сторонний наблюдатель, анализирующий такие URL, может составить представление о сексуальных предпочтениях пользователей, а люди, скорее всего, предпочли бы сохранить подобное в тайне и не связывать с рекламными профилями.

Хуже того, по данным экспертов, использование режима инкогнито в любом браузере вряд ли поможет от подобной слежки. Дело в том, что приватный режим предназначен не для изоляции пользователей от трекеров, но скорее создан для того, чтобы не оставлять следов в локальной истории браузера.

Эти расширения для браузера крадут ваши данные

Исследователь в сфере кибербезопасности Сэм Джидали (Sam Jidali) недавно обнаружил огромную утечку данных, раскрывающую личную информацию миллионов людей и 45 крупных компаний. Названная «DataSpii» Джидали и его командой, утечка была вызвана совершенно неприметными на первый взгляд расширениями для браузеров Chrome и Firefox, которые собирали и распределяли данные о действиях пользователей в сети — URL-адреса, которые раскрывали личную информацию о пользователях, а также длинный список компаний, включающий Apple, Walmart , Amazon, 23AndMe, SpaceX, Skype и многие другие. (Полный список можно посмотреть в отчете Джидали).

Восемь опасных расширений для браузеров

Вот восемь расширений, используемых для слежки за пользователями:

  • Branded Surveys (Chrome)
  • FairShare Unlock (Chrome and Firefox)
  • HoverZoom (Chrome)
  • Panel Community Surveys (Chrome)
  • PanelMeasurement (Chrome)
  • SaveFrom.net Helper (Firefox)
  • SpeakIt! (Chrome)
  • SuperZoom (Chrome and Firefox)

Исследователь сообщил об обнаруженной утечке компаниям Chrome и Mozilla, которые ответили удаленным отключением расширений и удалением их из своих специализированных онлайн-магазинов. Тем не менее, Джидали продолжал следить за активностью этих отключенных браузерных расширений, впоследствии обнаружив, что они по-прежнему отслеживают пользовательские данные, хотя их основные функции и были отключены.

Другими словами, лучше удалите все расширения, приведённые выше, если используете какое-либо из них. В то время как некоторые из этих расширений имели не более 10 пользователей, другие обладали пользовательской базой, состоящей из нескольких сотен тысяч (и иногда свыше миллиона) человек.

Каждое из этих расширений отслеживало данные по-разному и использовало собственную хитрую тактику — например, ожидало до 24 дней после установки, и только потом активировалось и начинало процесс слежки, тем самым запутывая процесс сбора данных. Собранные данные затем продавались любым заинтересованным лицам, завершая процесс, который Джидали описывает в своем полном отчете и в приведённой ниже инфографике:

Эти расширения для браузера крадут ваши данные

Джидали также предупредил компании, чья информация также была раскрыта, и они смогли подтвердить выводы Джидали. Утечка данных включала в себя конфиденциальную корпоративную информацию и компрометирующие пользовательские данные, такие как имена сотрудников, адреса, данные кредитных карт, пароли и ПИН-коды, хранимые в облаке файлы и многое другое — в некоторых случаях даже документы из налоговой, генетическую информацию и историю болезни.

В качестве одного примера, вот список общедоступных фотографий iCloud, которые были заархивированы вредоносными расширениями, и все они легко доступны для поиска с помощью Google Analytics:

Эти расширения для браузера крадут ваши данные

Как наверняка обезопасить себя от подобной кражи данных

Несмотря на то, что все пользователи, кого коснулась данная ситуация, были предупреждены, всегда целесообразно просматривать активность вашего аккаунта и/или изменять конфиденциальную информацию, когда происходит утечка, подобная этой, даже если ваши данные не были скомпрометированы.

Забегая вперед, дадим прежде всего один совет: Ограничьте количество расширений, которые вы используете в своем браузере. То, что расширение появляется в официальном магазине, не обязательно означает, что оно безопасно.

В то время как существует множество действительно полезных сторонних расширений для браузера, есть также множество, которые просто хотят воспользоваться вами. Мы не говорим о том, чтобы избавится вообще от всех расширений, что было бы наиболее безопасной практикой, но берите на заметку те, которые устанавливаете в своем браузере. Может быть, вам вовсе и не нужно 30+ расширений, чтобы выполнять большую часть вашей работы, и простой набор из пяти — от официальных разработчиков, которых вы знаете — мог бы с такой же эффективностью помогать вам в течение дня.

glo-magento-logo-text

В платформе электронной коммерции Magento устранено 75 уязвимостей

В открытой платформе для организации электронной коммерции Magento, которая занимает около 20% рынка систем для создания интернет-магазинов, выявлены уязвимости, комбинация которых позволяет совершить атаку для выполнения своего кода на сервере, получения полного контроля над интернет-магазином и организации перенаправления платежей. Уязвимости устранены в выпусках Magento 2.3.2, 2.2.9 и 2.1.18, в которых в сумме устранено 75 проблем, связанных с безопасностью.

Одна из проблем позволяет неаутентифицированному пользователю добиться размещения JavaScript-кода (XSS), который может быть выполнен при просмотре журнала отменённых покупок в интерфейсе администратора. Суть уязвимости в возможности обойти операцию чистки текста при помощи функции escapeHtmlWithLinks() при обработке примечания в форме отмены на экране начала оформления покупки (использование вложенного в другой тег тега «a href=http://onmouseover=…»). Проблема проявляется при использовании встроенного модуля Authorize.Net, при помощи которого осуществляется приём платежей по кредитным картам.

Для получения полного контроля при помощи JavaScript-кода в контексте текущего сеанса сотрудника магазина эксплуатируется вторая уязвимость, позволяющая загрузить phar-файл под видом картинки (проведение атаки «Phar deserialization»). Phar-файл может быть загружен через форму вставки картинок во встроенном WYSIWYG-редакторе. Добившись выполнения своего PHP-кода, атакующий затем может изменить реквизиты платежей или организовать перехват информации о кредитных картах покупателей.

Интересно, что сведения о XSS-проблеме были направлены разработчикам Magento ещё в сентябре 2018 года, после чего в конце ноября был выпущен патч, который, как оказалось, устраняет лишь один из частных случаев и легко обходится. В январе дополнительно было сообщено о возможности загрузки Phar-файла под видом изображения и показано, как сочетание двух уязвимостей может использоваться для компрометации интернет-магазинов. В конце марта в Magento 2.3.1, 2.2.8 и 2.1.17 была устранена проблема с Phar-файлами, но забыто исправление XSS, хотя тикет о проблеме был закрыт. В апреле разбор XSS возобновился и проблема была устранена в выпусках 2.3.2, 2.2.9 и 2.1.18.

Следует отметить, что в указанных выпусках также устранено 75 уязвимостей, для 16 из которых уровень опасности отмечен как критический, а 20 проблем могут привести к выполнению PHP-кода или подстановке SQL-операций. Большинство критических проблем могут быть совершены только аутентифицированным пользователем, но как показано выше, выполнения аутентифицированных операций нетрудно добиться при помощи XSS-уязвимостей, которых в отмеченных выпусках устранено несколько десятков.

Snuffleupagus

Проект Snuffleupagus развивает PHP-модуль для блокирования уязвимостей

В рамках проекта Snuffleupagus развивается модуль для подключения к интерпретатору PHP7, предназначенный для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать виртуальные патчи для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и распространяется под лицензией LGPL 3.0.

Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля входных данных и параметров функций. Например, правило «sp.disable_function.function(«system»).param(«command»).value_r(«[$|;&`\\n]»).drop();» позволяет не изменяя приложения ограничить использование спецсимволов в аргументах функции system(). Аналогично можно создавать виртуальные патчи для блокирования известных уязвимостей.

Судя по проведённым разработчиками тестам Snuffleupagus почти не снижает производительность. Для обеспечения собственной безопасности (возможные уязвимости в прослойке для защиты могут служить дополнительным вектором для атак) в проекте применяется доскональное тестирование каждого коммита в разных дистрибутивах, используются системы статического анализа, код оформляется и документируется для упрощения проведения аудита.

Предоставляются встроенные методы для блокирования таких классов уязвимоcтей, как проблемы, связанные с сериализацией данных, небезопасным использованием PHP-функции mail(), утечкой содержимого Cookie при проведении XSS атак, проблемами из-за загрузки файлов с исполняемым кодом (например, в формате phar), некачественной генерацией случайных чисел и подстановкой некорректных конструкций XML.

Из режимов для повышения защиты PHP поддерживаются:

  • Автоматическое включение флагов «secure» и «samesite» (защита от CSRF) для Cookie, шифрование Cookie;
  • Встроенный набор правил для выявления следов совершения атак и компрометации приложений;
  • Принудительное глобальное включение режима «strict» (например, блокирует попытку указания строки при ожидании в качестве аргумента целочисленного значения) и защита от манипуляций с типами;
  • Блокирование по умолчанию обёрток для протоколов (например, запрет «phar://») с их явным разрешением по белому списку;
  • Запрет на исполнение файлов, которые доступны на запись;
  • Чёрные и белые списки для eval;
  • Включение обязательно проверки сертификатов TLS при использовании curl;
  • Добавление HMAC к сериализованным объектам для гарантирования, что при десериализации получены данные, сохранённые исходным приложением;
  • Режим журналирования запросов;
  • Блокирование загрузки внешних файлов в libxml по ссылкам в XML-документах;
  • Возможность подключения внешних обработчиков (upload_validation) для проверки и сканирования загружаемых файлов;

Проект создан и используется для защиты пользователей в инфраструктуре одного из крупных французских операторов хостинга. Отмечается, что просто подключение Snuffleupagus позволило бы защититься от многих опасных уязвимостей, выявленных в этом году в Drupal, WordPress и phpBB. Уязвимости в Magento и Horde могли бы быть блокированы включением режима «sp.readonly_exec.enable()».

Хоррор-игра для Android ворует учетные данные Facebook, Google и другие

Аналитики компании Wandera обнаружили в Google Play вредоносную игру Scary Granny ZOMBYE Mod: The Horror Game 2019, установленную более 50 000 раз. По сути, малварь паразитировала на другой популярной Android-игре, Granny, которая насчитывает свыше 100 млн установок.

Хоррор-игра для Android ворует учетные данные Facebook, Google и другие

Вредонос представляет собой полностью работающую игру и тем самым отвлекает внимание своих жертв. Хуже того, вредоносная функциональность приложения начинает действовать лишь через два дня после его установки. То есть пока пользователь увлечен хоррором, приложение занимается хищением его личных данных.

Модули для кражи данных начинают работать лишь в том случае, если малварь имеет дело со старыми версиями Android. При установке на такое устройство Scary Granny попросит у пользователя права на запуск после перезагрузки смартфона или планшета (RECEIVE_BOOT_COMPLETED).

Хоррор-игра для Android ворует учетные данные Facebook, Google и другие

В итоге игра получает возможность отображать полноэкранные фишинговые оверлеи (даже после того, как пользователи перезагружают свои устройства). Так, малварь сначала показывает жертве фейковое уведомление, информирующее о необходимости срочно обновить службы безопасности Google. Если пользователь нажимает на предложенную кнопку «Обновить», ему показывают поддельную страницу входа в Google, которая выглядит весьма убедительно (не считая того, что sign in написано с ошибкой).

Если жертва не заметила подмены, и учетные данные от аккаунта Google попали в руки злоумышленников, игра начнет собирать другую информацию, в том числе, email и номера телефонов для восстановления, коды подтверждения, даты рождения, а также файлы cookie и токены.

Анализ сетевого трафика игры выявил, что вредонос также входит в учетные записи жертв с помощью встроенного браузера, собирает и передает своим операторам файлы cookie и ID сессий.

Чтобы скрыть свою активность, игра использует обфусуированные компоненты, которые маскируются под легитимные приложения. Например, пакет com.googles.android.gms это имитация легитимного com.google.android.gms.

Также Scary Granny отображает рекламу, скрытую от пользователя под видом других приложений (в том числе Amazon, Facebook, Facebook Lite, HaGo, Hulu, Instagram, Messenger, Pinterest, Snapchat, TikTok или Zalo). Так, эксперты заметили, что при просмотре всех запущенных приложений на устройстве можно обнаружить открытые приложения Facebook и Amazon, хотя на самом деле это лишь были реклама, замаскированная под них.

Хоррор-игра для Android ворует учетные данные Facebook, Google и другие

Массовая атака на уязвимые почтовые серверы на основе Exim

Исследователи безопасности из компании Cybereason предупредили администраторов почтовых серверов о выявлении массовой автоматизированной атаки, эксплуатирующей критическую уязвимость (CVE-2019-10149) в Exim, выявленную на прошлой неделе. В ходе атаки злоумышленники добиваются выполнения своего кода с правами root и устанавливают на сервер вредоносное ПО для майнинга криптовалют.

В соответствии с июньским автоматизированным опросом доля Exim составляет 57.05% (год назад 56.56%), Postfix используется на 34.52% (33.79%) почтовых серверов, Sendmail — 4.05% (4.59%), Microsoft Exchange — 0.57% (0.85%). По данным сервиса Shodan потенциально уязвимыми остаются более 3.6 млн почтовых серверов в глобальной сети, которые не обновлены до последнего актуального выпуска Exim 4.92. Около 2 млн потенциально уязвимых серверов размещены в США, 192 тысячи в России. По информации компании RiskIQ на версию 4.92 уже перешло 70% серверов с Exim.

Массовая атака на уязвимые почтовые серверы на основе Exim

Администраторам рекомендуется срочно установить обновления, которые ещё на прошлой неделе были подготовлены дистрибутивами (Debian, Ubuntu, openSUSE, Arch Linux, Fedora, EPEL для RHEL/CentOS). В случае наличия в системе поверженной уязвимости версии Exim (с 4.87 по 4.91 включительно) необходимо удостовериться, что система уже не скомпрометирована, проверив crontab на предмет подозрительных вызовов и убедиться в остутствии дополнительных ключей в каталоге /root/.ssh. Об атаке также может свидетельствовать наличие в логе межсетевого экрана активности с хостов an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io и an7kmd2wp4xo7hpr.onion.sh, которые используются для в процессе загрузки вредоносного ПО.

Первые попытки атаки на серверы Exim зафиксированы 9 июня. К 13 июня атака приняла массовый характер. После эксплуатации уязвимости через шлюзы tor2web со скрытого сервиса Tor (an7kmd2wp4xo7hpr) загружается скрипт, который проверяет наличие OpenSSH (если нет устанавливает), меняет его настройки (разрешает вход с root и аутентификацию по ключам) и устанавливает для пользователя root RSA-ключ, предоставляющий привилегированный доступ в систему через SSH.

После настройки бэкдора в систему устанавливается сканер портов для выявления других уязвимых серверов. Также осуществляется поиск в системе уже имеющихся систем майнинга, которые удаляются в случае выявления. На последнем этапе загружается и прописывается в crontab собственный майнер. Майнер загружается под видом ico-файла (на деле является zip-архивом с паролем «no-password»), в котором упакован исполняемый файл в формате ELF для Linux с Glibc 2.7+.

Уязвимость в плагине WP Live Chat Support позволяет похищать логи и внедрять сообщения в чаты

Разработчики плагина WP Live Chat Support, насчитывающего более 50 000 установок, сообщают, что пользователям следует немедленно обновить плагин до версии 8.0.33 или старше. Дело в том, что в плагине обнаружена критическая уязвимость, которая позволяет злоумышленнику, не имеющему действительных учетных данных, обойти механизм аутентификации.

WP Live Chat Support позволяет добавить на сайт бесплатный чат, через который сотрудники могут оказывать посетителям ресурса поддержку и помощь.

Эксперты компании Alert Logic обнаружили, что плагин версии 8.0.32 и ниже позволяет неаутентифицированному атакующему получить доступ к эндпоиантам REST API, которые не должны быть доступны в нормальных обстоятельствах. Уязвимость получила идентификатор CVE-2019-12498.  В результате эксплуатации бага злоумышленник получает возможность не только похитить все логи уже завершенных чатов, но и вмешиваться в еще активные чат-сессии.

Уязвимость в плагине WP Live Chat Support позволяет похищать логи и внедрять сообщения в чаты

Исследователи рассказывают, что с помощью бага атакующий может внедрять в активные чаты собственные сообщения, редактировать их, а также осуществлять DoS-атаки, из-за которых сессии чатов будут экстренно завершаться.

По данным Alert Logic, администраторы, которые по каким-то причинам не могут установить обновление плагина, могут временно решить проблему, настроив WAF-фильтры.

Интересно, что в прошлом месяце специалисты компании Sucuri обнаруживали в WP Live Chat Support другую опасную проблему — XSS-баг, который позволял автоматизировать атаки на уязвимые сайты и без аутентификации внедрять вредоносный код. Эту уязвимость быстро начали эксплуатировать преступники. Так, по данным ZScaler ThreatLabZ, злоумышленники внедряли на уязвимые сайты вредоносный JavaScript, который организовывал принудительные редиректы, отвечал за появление всплывающих окон и фейковых подписок.

У разработчиков Snapchat есть специальный инструмент для доступа к пользовательским данным

У разработчиков Snapchat есть специальный инструмент для доступа к пользовательским данным

Журналисты издания Vice Motherboard пообщались с несколькими бывшими и настоящими сотрудниками компании Snap, владеющей Snapchat, а также изучили внутренние корпоративные письма, попавшие в руки редакции. Как оказалось, ряд департаментов внутри компании Snap не только имеют инструменты для слежки за пользователями, но и активно пользуются и даже злоупотребляют ими.

По информации издания, сотрудникам Snap доступны такие данные, как местоположение, сохраненные Snap’ы и личные данные пользователей, включая номера телефонов и email-адреса. Несохраненные Snap’ы, как правило, удаляются после получения или через 24 после публикации.

Так, один из внутренних инструментов компании, о котором ранее известно не было, носит имя SnapLion, и изначально он был создан для сбора данных по официальным запросам, полученным от правоохранительных органов. В частности, к этому инструменту имеют доступ сотрудники отдела Customer Ops («Пользовательских операций»), а также отдела Spam and Abuse («Спама и злоупотребления»).

Журналисты отмечают, что согласно официальным правилам Snap для правоохранительных органов, по запросу властей могут быть предоставлены такие данные, как привязанный к аккаунту номер телефона, данные о местоположении пользователя, метаданные сообщений (по которым можно понять, с кем и когда говорил человек), а также, в некоторых случаях, доступен контент самых Snap’ов, к примеру, из Memories.

В итоге, согласно внутренним письмам компании, легитимное использование SnapLion сводится к удовлетворению запросов правоохранителей, а также к борьбе с насилием над детьми. Однако бывшие сотрудники компании рассказали изданию, что сотрудники нередко злоупотребляют этими инструментами, хотя и не конкретизировали, как именно.

Представители Snap заверили Vice Motherboard, что компания хранит крайне мало данных о своих пользователях, а любой несанкционированный доступ к этой информации немедленно пресекается и влечет за собой серьезные последствия.

binary-2170630_1920

Число атак на сайты за год увеличилось на 60%

Исследователи интернет-безопасности подсчитали, что в 2018 году злоумышленники атаковали по 62 сайта в сутки, а общее количество таких инцидентов выросло по сравнению с 2017 почти на 60%.

По словам экспертов SiteLock, зараженные площадки занимают всего 1% среди всех существующих сайтов. В абсолютном выражении эта цифра выглядит более впечатляюще — вредоносная активность замечена на 17,6 млн ресурсов. Этот показатель не увеличивается с течением времени, а значит в целом администраторы справляются с защитой своих площадок.

Однако многие веб-мастера пренебрегают основами безопасности, почему-то ожидая, что при возникновении проблем поисковые машины заблокируют сайт и предупредят владельца об угрозе. На самом деле, хоть у поисковиков и есть черные списки нежелательных ресурсов, новые площадки они туда добавляют с осторожностью, чтобы не разбираться с ложно-положительными сигналами. Так, в прошлом году таким образом оказались заблокированы всего 15% зараженных ресурсов — даже меньше, чем в 2017-м.

В то же время, без активного участия администраторов отловить современные зловреды практически невозможно. С обвалом рынка криптовалют преступники охладели к криптомайнерам, сместив фокус атак на перехват данных. Для этого они применяют бэкдоры, shell-скрипты и прочие инструменты, которые обеспечивают им скрытное присутствие на скомпрометированном ресурсе. В отличие от тех же криптоджекеров, обнаружить такой код гораздо сложнее.

Ситуацию усугубляет тот факт, что с распространением открытых CMS вроде WordPress и Drupal создание сайтов перестало требовать каких-либо технических навыков. Неопытные веб-мастера (возможно, те же, которые не видят разницу между поисковиком и антивирусным сканером) не утруждаются настройками безопасности, что делает их легкой целью для преступников.

По подсчетам аналитиков, серьезные бреши вроде XSS или CSRF, уязвимости перед SQL-инъекциями есть на 20% WordPress-сайтов и 15% ресурсов на базе CMS Joomla. В случае Drupal эта цифра составила всего 2%, зато в этой системе больше всего уязвимостей ядра — такие проблемы обнаружились у 34% Drupal-сайтов.

Рейтинг самых распространенных в 2018 году зловредов:

  1. JavaScript-файлы (33% от общего количества)
  2. Вредоносные редиректы (19%)
  3. Бэкдоры (11%)
  4. Фишинговые файлы (7%)
  5. Дефейс-контент (5%)
  6. Криптомайнеры (5%)
  7. Shell-скрипты (2%)
  8. SEO-спам (2%)

Полную версию отчета можно бесплатно скачать на сайте SiteLock.

whatsapp

Пользователи WhatsApp пострадали от шпионажа

Неизвестные злоумышленники использовали уязвимость WhatsApp для слежки за правозащитниками и журналистами в нескольких странах. В подготовке атак заподозрили компанию NSO Group, которую ранее уже обвиняли в сотрудничестве с авторитарными режимами.

По информации СМИ, от атак пострадали пользователи сразу из нескольких стран, чьи имена не раскрываются из соображений безопасности. Среди них — британский адвокат, который ранее судился с NSO Group по делу о взломе телефонов саудовского диссидента Омара Абдулазиза (Omar Abdulaziz). Именно он первым сообщил ИБ-экспертам о странной активности на своем смартфоне. Круг жертв также включает некого гражданина Катара, нескольких мексиканских журналистов и борцов за права человека.

По словам пострадавшего адвоката, он заподозрил взлом своего смартфона после того, как получил несколько странных видеозвонков с шведских телефонных номеров. Пользователь передал устройство ИБ-специалистам, которые ранее уже изучали случаи применения разработок NSO Group против гражданских активистов.

Параллельно с этими событиями проблему обнаружили инженеры WhatsApp — они зафиксировали подозрительную активность в системе голосовых звонков. Разработчики связались с несколькими правозащитными организациями, после чего эксперты Citizen Lab указали им на жертву прошедшей атаки.

Как выяснилось, взломщики использовали брешь мессенджера, чтобы внедрить вредоносный код на смартфоны своих жертв. В комментарии к уязвимости уточняется, что проблема содержалась в стеке WhatsApp VOIP — злоумышленник мог вызвать переполнение буфера с помощью серии SRTCP-запросов.

Проникновение происходило при звонке на целевое устройство, причем принимать вызов было необязательно. Технология работала на iOS- и на Android-устройствах, а также Windows Phone и Tizen.

Исследователи Citizen Lab связали атаки с NSO Group по цифровым отпечаткам обнаруженного на смартфоне стороннего ПО. По словам журналистов, эта организация ведет свою деятельность уже несколько лет, поставляя решения для слежки спецслужбам и правительственным агентствам. Представители компании утверждают, что их системы используются для борьбы с терроризмом, а всех заказчиков согласовывает внутренняя комиссия по этике. Оппоненты NSO Group указывают на следы ее разработок в атаках на диссидентов в Объединенных Арабских Эмиратах, Саудовской Аравии и Мексике.

Как бы то ни было, в настоящий момент уязвимость уже закрыта. Разработчики WhatsApp призывают пользователей установить актуальную версию приложения.