WhatsApp修复了用于部署Paragon Graphite间谍软件的零日漏洞

WhatsApp已修复一个零点击、零日漏洞，该漏洞曾被利用在目标个体的设备上安装Paragon的Graphite间谍软件。

在多伦多大学Citizen Lab小组的报告后，WhatsApp阻止了Paragon针对记者和民间社会成员的间谍软件活动。公司确认该问题已于2024年12月修复，无需客户端更新，且未分配CVE-ID。

2月，Meta宣布发现并瓦解了通过WhatsApp针对记者和民间社会成员的恶意软件活动，该活动使用了Paragon间谍软件（又名Graphite）。此次黑客活动针对90名用户，并在12月被中断，WhatsApp立即提醒目标用户其设备可能已被入侵。

Meta旗下的公司将此次黑客活动与Paragon联系起来，Paragon是一家以色列商业监控供应商，于2024年12月被AE Industrial Partners以9亿美元收购。

Meta专家表示，威胁行为者使用了“零点击”漏洞利用程序，无需用户交互即可入侵目标设备。WhatsApp未透露目标个体的位置。

WhatsApp向Paragon发送了“停止和终止”信函，并宣布正在探索启动法律行动的可能性。

“WhatsApp已中断了Paragon针对包括记者和民间社会成员在内的一些用户的间谍软件活动。我们已直接联系了我们认为受影响的用户。这是为什么间谍软件公司必须对其非法行为负责的最新例子。WhatsApp将继续保护人们的私密通信能力，”公司发言人告诉《卫报》。

虽然没有关于间谍软件活动的官方报告，但媒体报道称，威胁行为者可能使用了特制的PDF文件作为诱饵。该文件在目标用户被添加到群聊后发送给他们。研究小组Citizen Lab的John Scott-Railton表示，他们首先分析了这些攻击，并与WhatsApp分享了发现。

“我们与Meta分享了我们对Paragon基础设施的分析，他们告诉我们这些细节对他们正在进行的Paragon调查至关重要。WhatsApp发现并缓解了Paragon的零点击漏洞利用活动，随后通知了90多名他们认为被针对的个人，包括意大利的民间社会成员。”Citizen Lab发布的报告写道。

Citizen Lab绘制了Paragon Solutions的间谍软件基础设施图，通过数字指纹和证书识别出其工具“Graphite”。研究人员将Paragon与托管在当地电信公司的多个IP地址联系起来，表明它们属于政府客户。一个配置错误的数字证书进一步证实了这一联系，加强了Paragon全球间谍软件操作的证据。

“我们发现的基础设施与以色列（Paragon所在地）的IP地址返回的名为‘Paragon’的网页有关，以及包含组织名称‘Graphite’的TLS证书，这是Paragon间谍软件的名称，以及通用名称‘installerserver’（竞争对手间谍软件产品Pegasus使用术语‘安装服务器’来指代设计用于感染设备的服务器）。”Citizen Lab发布的报告写道。

WhatsApp修复了一个零点击、零日漏洞

Citizen Lab发布的报告表明，澳大利亚、加拿大、塞浦路斯、丹麦、以色列和新加坡可能是以色列间谍软件制造商Paragon Solutions的客户。

原文始发于微信公众号（黑猫安全）：WhatsApp修复了用于部署Paragon Graphite间谍软件的零日漏洞