In die blog op die webwerf van die Google-projek nul-span het Natalie Silvanovich (Natalie Silvanovich) sy navorsing oor die veiligheid van populêre aansoeke vir kommunikasie beskryf. Sy het die werk in 2020 deurgebring en in ooreenstemming met die onwettige kode van die sogenaamde wit hackers, gepubliseerde resultate nadat die kwesbaarhede uitgeskakel is.
Natalie ontleed die logika van die video-kenmerke in sein, Facebook Messenger, Google Duo, Jiochat en Mocha. By so 'n stap is dit nie net nuuskierigheid bepleit nie, maar ook die voorheen verworwe ervaring. Die feit is dat ongeveer twee jaar gelede in die FaceTime-funksie op Apple-toestelle 'n lang kwesbaarheid gevind het: sonder die kennis van die slagoffer, kan die aanvaller 'n foto van die telefoonkamera vasvang.
Daarbenewens is dit nie in die hacking van 'n aansoek nie, maar om die verkeerde logika van die werk van die video-skakel self te gebruik. By die uitruil van pakkette wat die verbinding bevestig, kan die aanvangsverband die toestemming vervang om die prentjie van die teikengebruiker oor te dra. En die probleem is dat die program op die offerande hierdie manipulasie sal oorweeg, selfs sonder gebruikersaksies.
Ja, hierdie skema het beperkinge. Eerstens moet jy 'n oproep inisieer en op 'n sekere manier doen. Dit is, die slagoffer sal altyd kan reageer. Tweedens sal die gedeelte van die data wat as gevolg daarvan verkry word, baie beperk wees. Die prentjie is van die voorste kamera vasgemaak - en dit is nie 'n feit dat dit lyk waar jy 'n aanvaller nodig het nie. Daarbenewens sal die offer die oproep sien en óf dit neem of dit laat val. Met ander woorde, dit is in die geheim moontlik om seker te maak die slimfoon in die hande van die slimfoon wanneer hy ranns.
Maar die situasie is nog onaangenaam, en daar kan soms sulke inligting genoeg wees. Natalie het soortgelyke kwesbaarhede in al die bogenoemde toepassings gevind. Hul werkmeganisme het van die boodskapper na die boodskapper verskil, maar 'n fundamentele skema het dieselfde gebly. Goeie nuus vir telegram en viber liefhebbers: hulle is so ontneem van so 'n fout, met hul video-oproepe wat alles in orde is. Ten minste is tot dusver nie geïdentifiseer nie.
In Google Duo is die kwesbaarheid in Desember verlede jaar gesluit, by Facebook Messenger - in November, Jiochat en Mocha is in die somer opgedateer. Maar voor almal het 'n soortgelyke fout reggestel, terug in September 2019, maar hierdie boodskapper en die eerste ondersoek. So, die kuberekuriteitskenners het weereens die behoefte aan gereelde opdaterings van geïnstalleerde toepassings herinner. Jy kan nie weet van 'n ernstige probleem nie, maar die ontwikkelaars het dit reeds reggestel.
Silvanovich wys op dat sy slegs die funksie van video-oproepe tussen twee gebruikers ontleed het. Dit is net die geval waarin die verband tussen die "intekenare" direk gevestig is. In sy verslag het sy die volgende fase van werkgroepvideo-konferensies in populêre boodskappers aangekondig.
Bron: Naakte Wetenskap