في المدونة على الموقع الإلكتروني لفريق مشروع Google Project Zero، وصف ناتالي سيلفانوفيتش (Natalie Silvanovich) بحثها على أمن التطبيقات الشعبية للاتصالات. لقد أمضت العمل في عام 2020، وفقا للقانون غير القانوني لما يسمى المتسللين البيض، تم نشر النتائج بعد الضعف.
قام Natalie بتحليل منطق ميزات الفيديو في إشارة و Facebook Messenger و Google Duo و Jiochat و Mocha. في مثل هذه الخطوة، لم يدعو ليس فقط الفضول، ولكن أيضا التجربة المكتسبة سابقا. الحقيقة هي أنه منذ حوالي عامين في وظيفة FaceTime على أجهزة Apple وجدت ثغرة أمنية طويلة: بدون معرفة الضحية، يمكن للمهاجم التقاط صورة من كاميرا الهاتف.
علاوة على ذلك، فإنه ليس في اختراق تطبيق، ولكن لاستخدام المنطق غير الصحيح لعمل رابط الفيديو نفسه. عند تبادل الحزم التي تؤكد الاتصال، يمكن أن يحل اتصال البدء محل الإذن لنقل الصورة من المستخدم المستهدف. والمشكلة هي أنه على الجانب التضحية، سينظر البرنامج في هذا التلاعب المشروع، حتى بدون إجراءات المستخدم.
نعم، هذا المخطط لديه قيود. أولا، تحتاج إلى بدء مكالمة وتفعل ذلك بطريقة معينة. وهذا هو، فإن الضحية ستكون دائما قادرة على الاستجابة. ثانيا، جزء البيانات التي تم الحصول عليها نتيجة لذلك ستكون محدودة للغاية. تم إصلاح الصورة من الكاميرا الأمامية - وهي ليست حقيقة أنها تبدو حيث تحتاج إلى مهاجم. بالإضافة إلى ذلك، ستشهد التضحية المكالمة وإما أخذها أو يسقطها. بمعنى آخر، من الممكن سرا التأكد من أن الهاتف الذكي فقط في أيدي الهاتف الذكي عندما يرام.
لكن الوضع لا يزال غير سار، ويمكن أن يكون هناك ما يكفي من هذه المعلومات في بعض الأحيان. وجدت ناتالي نقاط ضعف مماثلة في جميع التطبيقات المذكورة أعلاه. اختلفت آلية عملهم عن رسول الرسول، لكن مخططا أساسيا ظل نفسه. أخبار جيدة لخصم برقية وعشاق فايبر: فهي محرومة للغاية من هذه العيب، مع مكالمات الفيديو الخاصة بهم كل شيء في النظام. على الأقل، حتى الآن لم يتم تحديدها.
في Google Duo، تم إغلاق الضعف في ديسمبر من العام الماضي، في Facebook Messenger - في نوفمبر، تم تحديث Jiochat و Mocha في الصيف. ولكن قبل كل شيء، صحح إشارة خطأ مماثل، مرة أخرى في سبتمبر 2019، ولكن هذا الرسائل والتحقيق في الأول. وبالتالي، ذكر خبراء الأمن السيبراني مرة أخرى الحاجة إلى تحديثات منتظمة للتطبيقات المثبتة. لا يمكنك معرفة مشكلة خطيرة، لكن المطورين قاموا بتصحيحها بالفعل.
يلاحظ Silvanovich بشكل منفصل أنها قامت بتحليل وظيفة مكالمات الفيديو فقط بين مستخدمين. وهذا هو، فقط الحالة التي يتم فيها إنشاء الاتصال بين "المشتركين" مباشرة. أعلنت في تقريره عن المرحلة التالية من العمل - مزود فيديو مؤتمرات في المراسلين الشعبيين.
المصدر: العلوم العارية