根据脸书的说明,该漏洞藏匿在WhatsApp的VOIP功能中,黑客只要传送一个特制的SRTCP封包到目标对象的手机上,就能触发缓冲区溢位漏洞,并执行任何程序,且同时波及Android 、iOS、Windows Phone及Tizen等平台上的WhatsApp版本。
金融时报则说,已有黑客利用此一漏洞在受害者的手机上植入了由以色列安全研究员NSO Group所打造的Pegasus间谍程序。当黑客打电话给WhatsApp用户时,就算使用者没有接听,依旧能够成功传递Pegasus,还能移除该通话纪录以免被察觉。
以替全球政府服务闻名的NSO Group强调只会将产品销售给政府机关,以协助这些政府抵挡恐怖份子,破坏犯罪行动,寻找失踪人口,或是解救团队等。但加拿大多伦多大学的公民实验室(Citizen Lab),曾经质疑NSO Group销售Pegasus予极权政府,以用来监控异议份子,估计Pegasus至少已被部署在全球45个国家。
知名的Pegasus被视为史上最高明的行动间谍程序,它可监控受害者的行动,也能搜集装置上的各种消息,涵盖语音通讯、相机、电子邮件、讯息、定位、密码与通讯录等。
目前仅知一名英国人权律师的行动装置已被植入了Pegasus,尚无法估计其他受灾规模,确定的是,全球的15亿WhatsApp用户都是潜在的受害者,应该赶紧更新自己的WhatsApp。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
