Istraživačka grupa Citizen Lab sa Univerziteta u Torontu sprovela je analizu napada u kojima je korišten spyware izraelske kompanije Paragon Solutions, što je dovelo do otkrića zero-day ranjivosti u aplikaciji za komunikaciju WhatsApp, koja je u vlasništvu Mete.
Paragon postoji od 2019. godine, a njegov spyware nosi naziv Graphite. Kompanija tvrdi da, za razliku od NSO Group i drugih firmi za nadzor, čiji su proizvodi korišćeni od strane autoritarnih režima za praćenje aktivista, političara i novinara, posjeduje zaštite koje sprječavaju takvu zloupotrebu.
Citizen Lab je pronašao dokaze o upotrebi Graphite spywarea u Australiji, Kanadi, Danskoj, Singapuru, Izraelu i Kipru. Postoje indikacije da su policijske snage u Kanadi koristile ovaj spyware.
Graphite spyware je nedavno dospio u centar pažnje zbog njegove upotrebe protiv osoba u Italiji, uključujući korisnike Android i iPhone uređaja. Italijanska vlada je u februaru negirala da je koristila Paragon spyware za praćenje novinara i aktivista koji rade sa migrantima.
Meta je nedavno upozorila 90 korisnika u više od dvadeset zemalja da su bili meta napada putem Paragon spywarea preko WhatsAppa.
Prema Citizen Labu, najmanje neki od ovih napada uključivali su eksploataciju WhatsApp zero-day ranjivosti koja nije zahtijevala nikakvu interakciju korisnika.
“Podijelili smo detalje o našem mapiranju Paragonove infrastrukture sa Metom jer smo vjerovali da bi WhatsApp mogao biti korišćen kao vektor infekcije. Meta nam je rekla da su ovi detalji bili ključni za njihovu istragu o Paragonu. Meta je zatim podijelila informacije sa WhatsAppom, što ih je dovelo do identifikacije, mitigacije i atribucije Paragonovog zero-click eksploita”, saopštio je Citizen Lab.
Eksploatacije WhatsAppa, posebno zero-click eksploati, mogu biti izuzetno vrijedne.
WhatsApp nije objavio zvanično saopštenje o ranjivosti i nije dodijelio CVE identifikator, što ukazuje na to da je zero-day vjerovatno zakrpljen na serverskoj strani i da korisnici ne moraju preduzimati nikakve radnje.
Osim upotrebe zero-day ranjivosti, WhatsApp je potvrdio Citizen Labu da je Android komponenta pod nazivom BigPretzel, koja je uključena u napade na njegove korisnike, takođe povezana sa Paragonom.
Citizen Lab je napomenuo da novi dokazi izgledaju kao kontradikcija Paragonovim tvrdnjama o vrstama entiteta koji su meta njegovih rješenja.
“Devedesetak meta koje je WhatsApp obavijestio vjerovatno predstavlja samo dio ukupnog broja slučajeva povezanih s Paragonom. Ipak, u već istraženim slučajevima pojavljuje se zabrinjavajući i prepoznatljiv obrazac ciljanja grupa za ljudska prava, kritičara vlada i novinara”, saopštio je Citizen Lab.
Izvor: SecurityWeek
