У блозі на сайті команди Google Project Zero Наталі Сільванович (Natalie Silvanovich) описала своє дослідження безпеки популярних додатків для спілкування. Роботу вона провела в 2020 році і, відповідно до негласним кодексом так званих білих хакерів, опублікувала результати після того, як уразливості усунули.
Наталі проаналізувала логіку роботи функцій відеозв'язку в додатках Signal, Facebook Messenger, Google Duo, JioChat і Mocha. На такий крок її підштовхнула не лише цікавість, а й раніше набутий досвід. Справа в тому, що близько двох років тому в функції FaceTime на пристроях Apple виявили неприємну вразливість: без відома жертви зловмисник міг захопити картинку з камери телефону.
Причому справа не в зломі додатки, а у використанні некоректної логіки роботи самої підсистеми відеозв'язку. На рівні обміну пакетами з підтвердженням зв'язку ініціює з'єднання сторона може підмінити дозвіл на передачу картинки від цільового користувача. І проблема в тому, що на стороні жертви програма цю маніпуляцію вважатиме легітимною, навіть без дій користувача.
Так, у такої схеми є обмеження. По-перше, необхідно ініціювати дзвінок і зробити це певним чином. Тобто жертва завжди буде мати можливість відреагувати. По-друге, порція отриманих в результаті такого шпигунства даних буде дуже обмежена. Картинка-то фіксується з фронтальної камери - і не факт, що вона дивиться куди потрібно зловмисникові. До того ж жертва побачить дзвінок і або прийме його, або скине. Іншими словами, потай можна впевнитися тільки в тому, хто візьме смартфон в руки, коли той задзвонить.
Але ситуація все одно неприємна, та й таких відомостей іноді може бути досить. Наталі знайшла подібні уразливості у всіх вищеописаних додатках. Їх механізм роботи відрізнявся від месенджера до месенджер, але принципово схема залишалася тією ж. Хороша новина для любителів Telegram і Viber: вони такого вади позбавлені, з їх відеодзвінки все в порядку. По крайней мере, поки проблем не виявлено.
В Google Duo вразливість закрили в грудні минулого року, в Facebook Messenger - в листопаді, JioChat і Mocha оновилися ще влітку. А ось раніше всіх аналогічну помилку виправив Signal, ще у вересні 2019 року, але цей месенджер і досліджували першим. Таким чином, фахівці з кібербезпеки зайвий раз нагадали про необхідність регулярних оновлень встановлених додатків. Можна не знати про серйозну проблему, але розробники вже її виправили.
Сільванович окремо зазначає, що вона проаналізувала тільки функцію відеодзвінків між двома користувачами. Тобто лише той випадок, в якому з'єднання встановлюється між «абонентами» безпосередньо. У своєму звіті вона анонсувала наступний етап роботи - групові відеоконференції в популярних месенджерах.
Джерело: Naked Science