WhatsAppissa havaittu puhelimen kaappaamisen mahdollistava haavoittuvuus – päivitys saatavilla

[FlyingAntero]

WhatsApp-pikaviestimestä on löydetty kaksi vakavaa tietoturva-aukkoa, jotka mahdollistavat jopa puhelimen kaappaamisen. WhatsApp on kuitenkin jo julkaissut sovelluksen Android ja iOS versioille päivitykset, jotka korjaavat haavoittuvuudet. Toitaiseksi ei ole tiedossa, onko tietoturva-aukkoja hyödynnetty eri hyökkäyksissä. Kaikille käyttäjille suositellaan sovelluksen päivittämistä uusimpaan versioon.

Lähteet:

• WhatsAppissa vakava aukko, puhelin voidaan kaapata – näin tarkistat, oletko turvassa
• Critical WhatsApp vulnerabilities patched: Check you've updated!

 

[Marti77]

Itsellä ainakin jo 2.22.20.79 käytössä.

 

[Nightuser]

Täällä myös .20.79 käytössä. 27.9 siihen päivittynyt.

 

[FlyingAntero]

Itsellä ainakin jo 2.22.20.79 käytössä.

Täällä myös .20.79 käytössä. 27.9 siihen päivittynyt.

Väärää tietoa:

Spoileri

IS:n jutussa sanotaan, että "pienin turvallinen versionumero kaikissa sovelluksissa on 2.22.16.12" mutta ilmeisesti 2.22.16.12 on ollut vielä haavoittuvainen versio muiden lähteiden perusteella. 2.22.16.12 tuli saatavilla betana jo heinäkuussa mutta WhatsApp on korjannut uutisen aukot vasta syyskuussa eli varmaankin tuolla 2.22.20.79 versiolla

• WhatsApp discloses critical vulnerability in older app versions
• Päivitä WhatsApp heti – kaksi vakavaa haavoittuvuutta korjattu

Haavoittuvuuksista ainakin yksi koski sekä WhatsAppin iOS- ja Android-sovellusversiota 2.22.16.12 ja vanhempia. Lisäksi Androidilla toinen haavoittuvuus koski myös versiota 2.22.16.12 ja vanhempia, kun taas WhatsAppin iOS-version osalta toinen haavoittuvuus koski versiota 2.22.15.9 ja vanhempia.

Itsellä on jo versio 2.22.21.16 (beta), mikä ilmeisesti tullut 30.9.2022.

 

[tunppi]

WA security advisory sivu sanoo että aiemmat kuin 2.22.16.12 on haavoittuvaisia ja saman sanoo myös CVE database. Mitkä nämä "muut lähteet" on?

 

[FlyingAntero]

WA security advisory sivu sanoo että aiemmat kuin 2.22.16.12 on haavoittuvaisia ja saman sanoo myös CVE database. Mitkä nämä "muut lähteet" on?

WhatsAppin sivuilla tosiaan lukee selkeästi "prior to" ja CVE databasessa "Up to (excluding)". Useammassa paikassa kuitenkin väitettiin toista (myös joillain ulkomaisilla sivustoilla).

• Päivitä WhatsApp heti – kaksi vakavaa haavoittuvuutta korjattu
• Nyt tuli varoitus WhatsAppin käyttäjille kriittisestä turva-aukosta – Paikkaa se heti tai laite voidaan kaapata

Otetaan kuitenkin komento takaisin. Alla vielä maininta Kyberturvallisuuskeskuksen sivuilta:

• Kyberturvallisuuskeskuksen viikkokatsaus - 39/2022 | Kyberturvallisuuskeskus

Haavoittuvuuden koskevat WhatsApp sovellusta alemmalla versionumerolla kuin:
- v2.22.16.12 (Android, iOS ja Business)

Edit: Loppuviimein oleellisinta lienee, että uusin WhatsApp versio sisässä, niin ei ongelmaa. Kaikilla vaan ei ole automaattiset päivitykset päällä tai niitä ei ole sallittu ilman WiFiä. Suomessa ollaan kaikenlisäksi hieman outolintuja muuhun maailmaan nähden, että kaikilla ei edes ole erillistä nettiä vaan mennään puhelimen netillä.