電話で攻撃
不穏なタイトルですが、Facebook傘下のWhatAppというチャットアプリで重大な脆弱性が見つかったとの事です。
電話がかかってくると攻撃が成立するという恐ろしい状態だったようです。
(現在は対応済みのバージョンが公開されています)
応答しなくても攻撃は成立してたようで、任意のコードを実行させるリモート操作のようなことが出来たとのことです。
実際スパイウェアがインストールされたという攻撃が確認されていて、しかも着信履歴まで消されるという・・・
Facebookにもこのことについてメッセージが出てます。
https://www.facebook.com/security/advisories/cve-2019-3568
この攻撃はバッファオーバーフローという手法を使った物なのですが
プログラマーやシステム関係者ならだれでも聞いた事のある名称でして
凄く簡単にいうと、
4桁までしか入らない所に5桁の値を入れて、あふれてた分の値が悪さをするという感じです。
電話かかってくるだけでスパイウェアインストールされるとか、ほんとに恐ろしい脆弱性ですね
こういった攻撃が可能な機能を開発する際は十分に気を付けなければならない事を再認識しました。
月曜担当 SH
SH at 2019年05月20日 10:00:32