เว็บ The Financial Times รายงานถึงช่องโหว่ CVE-2019-3568 ที่เปิดทางให้แฮกเกอร์ยิงโค้ดเข้ามารันในเครื่องเป้าหมายโดยเหยื่อไม่ต้องกดรับอะไรที่เครื่องตัวเองแม้แต่น้อย แต่เพียงแค่มีสายโทรเข้าเท่านั้น ที่สำคัญคือช่องโหว่นี้ถูกขายโดย NSO Group บริษัทความมั่นคงไซเบอร์จากอิสราเอลที่ให้บริการกับหน่วยงานรัฐหลายชาติ

ทาง WhatsApp ระบุว่าได้แจ้งการโจมตีครั้งนี้ให้กระทรวงยุติธรรมสหรัฐฯ ตั้งแต่สัปดาห์ที่แล้ว และเริ่มแพตช์ฝั่งเซิร์ฟเวอร์ตั้งแต่วันศุกร์ที่ผ่านมา โดยวันนี้จะเริ่มปล่อยอัพเดตให้กับผู้ใช้ทั้งหมด

ตอนนี้ยังไม่สามารถประเมินได้ว่ามีผู้ตกเป็นเหยื่อของช่องโหว่นี้แล้วจำนวนเท่าใด

Eva Galperin ผู้อำนวยการฝ่ายความมั่นคงปลอดภัยไซเบอร์ของ EFF ระบุว่า NSO Group นั้นโฆษณามาระยะหนึ่งแล้วว่าสามารถเจาะเป้าหมายได้โดยที่เหยื่อไม่ต้องคลิกอะไร และช่องโหว่นี้ก็แสดงว่าบริษัทสามารถทำได้จริง

ช่องโหว่กระทบทุกแพลตฟอร์ม Android, iOS, Windows Phone, และ Tizen โดยแพตช์แก้ไขเป็นเวอร์ชั่นดังนี้ WhatsApp for Android v2.19.134, WhatsApp Business for Android v2.19.44, WhatsApp for iOS v2.19.51, WhatsApp Business for iOS v2.19.51, WhatsApp for Windows Phone v2.18.348, and WhatsApp for Tizen v2.18.15 ทุกคนควรได้รับแพตช์ในวันนี้

ที่มา - Facebook, 9to5mac

ภาพโดย antonbe