臉書緊急修補WhatsApp被駭客開採的漏洞

英國金融時報報導，駭客已經利用臉書（Facebook）旗下傳訊程式WhatsApp的安全漏洞，在特定人士的手機上植入了間諜程式。而臉書則於本周緊急修補了此一編號為CVE-2019-3568的安全漏洞。

根據臉書的說明，該漏洞藏匿在WhatsApp的VOIP功能中，駭客只要傳送一個特製的SRTCP封包到目標對象的手機上，就能觸發緩衝區溢位漏洞，並執行任何程式，且同時波及Android、iOS、Windows Phone及Tizen等平臺上的WhatsApp版本。

金融時報則說，已有駭客利用此一漏洞在受害者的手機上植入了由以色列資安業者NSO Group所打造的Pegasus間諜程式。當駭客打電話給WhatsApp用戶時，就算使用者沒有接聽，依舊能夠成功傳遞Pegasus，還能移除該通話紀錄以免被察覺。

以替全球政府服務聞名的NSO Group強調只會將產品銷售給政府機關，以協助這些政府抵擋恐怖份子，破壞犯罪行動，尋找失蹤人口，或是解救團隊等。但加拿大多倫多大學的公民實驗室（Citizen Lab），曾經質疑NSO Group銷售Pegasus予極權政府，以用來監控異議份子，估計Pegasus至少已被部署在全球45個國家。

知名的Pegasus被視為史上最高明的行動間諜程式，它可監控受害者的行動，也能蒐集裝置上的各種資訊，涵蓋語音通訊、相機、電子郵件、訊息、定位、密碼與通訊錄等。

目前僅知一名英國人權律師的行動裝置已被植入了Pegasus，尚無法估計其他受災規模，確定的是，全球的15億WhatsApp用戶都是潛在的受害者，應該趕緊更新自己的WhatsApp。