Google Layihə Sıfır Komandasının veb saytındakı bloqda Natalie Silvanoviç (Natalie Silvanoviç) rabitə üçün məşhur tətbiqlərin təhlükəsizliyi ilə bağlı araşdırmalarını izah etdi. Əsəri 2020-ci ildə keçirdi və qondarma ağ hakerlərin qanunsuz koduna uyğun olaraq, zəifliklərin aradan qaldırıldıqdan sonra nəticələrini yayımladı.
Natali, siqnal, Facebook Messenger, Google Duo, Jiochat və Mocha-da video xüsusiyyətlərinin məntiqini təhlil etdi. Belə bir addımda, yalnız maraq dairəsi deyil, həm də əvvəllər əldə edilmiş təcrübəni də müdafiə etdi. Fakt budur ki, təxminən iki il əvvəl Apple cihazlarında FaceTime funksiyasında uzun bir həssaslıq tapdı: Qurbanın biliyi olmadan təcavüzkar telefon kamerasından bir şəkil çəkə bilər.
Üstəlik, bir tətbiq hack etmək deyil, video bağlantısının işinin səhv məntiqindən istifadə etməkdir. Bağlantı təsdiqləyən paketlərin mübadiləsində, təşəbbüsləmə bağlantısı, şəkli hədəf istifadəçidən köçürmə icazəsini əvəz edə bilər. Problem budur ki, qurban tərəfində, proqram bu manipulyasiyanı istifadəçi hərəkətləri olmadan da qanuni hesab edəcəkdir.
Bəli, bu sxemin məhdudiyyətləri var. Birincisi, bir zəng başlatmaq və müəyyən bir şəkildə etmək lazımdır. Yəni qurban həmişə cavab verə biləcək. İkincisi, nəticədə əldə edilən məlumatların hissəsi çox məhdud olacaqdır. Şəkil ön kameradan düzəldilmişdir - və təcavüzkarın harada ehtiyacınız olduğu görünməsi bir həqiqət deyil. Bundan əlavə, qurban çağırışı görəcək və ya götür, ya da onu atacaq. Başqa sözlə, ranns olduqda yalnız smartfonun əlindəki smartfondan əmin olmaq gizlidir.
Ancaq vəziyyət hələ də xoşagəlməzdir və bəzən bu cür məlumatlar ola bilər. Natalie bütün yuxarıdakı tətbiqlərdə oxşar zəifliklər tapdı. Onların iş mexanizmi elçindən Elçiyə qədər fərqləndi, amma əsaslı bir sxem eyni qaldı. Teleqram və viber həvəskarları üçün müjdə: onlar belə qüsurdan məhrumdurlar, video zəngləri ilə hər şey qaydasındadır. Heç olmasa, indiyə qədər müəyyən edilməyib.
Google Duo-da, keçən ilin dekabr ayında həssaslıq bağlandı, Facebook Messenger-də - Noyabr ayında Jiochat və Mocha yayda yeniləndi. Ancaq hər şeydən əvvəl, siqnal oxşar bir səhv düzəltdi, 2019-cu ilin sentyabr ayında geri döndü, ancaq bu elçi və birinci araşdırdı. Beləliklə, kiberçilik mütəxəssisləri bir daha quraşdırılmış tətbiqlərin müntəzəm yeniliklərinə ehtiyac olduğunu xatırlatdı. Ciddi bir problem haqqında məlumat ala bilməzsiniz, amma tərtibatçılar artıq düzəltdilər.
Silvanoviç ayrıca qeyd edir ki, iki istifadəçi arasında yalnız video zənglərin funksiyasını təhlil edir. Yəni yalnız "abunəçilər" arasında əlaqə qurulduğu haldır. Onun hesabatında işin növbəti mərhələsini elan etdi - populyar mesajçılarda qrup video konfrans.
Mənbə: Çılpaq elm