У блогу на сайце каманды Google Project Zero Наталі Сільвановіч (Natalie Silvanovich) апісала сваё даследаванне бяспекі папулярных прыкладанняў для зносін. Працу яна правяла ў 2020 годзе і, у адпаведнасці з сакрэтнай кодэксам так званых белых хакераў, апублікавала вынікі пасля таго, як уразлівасці ліквідавалі.
Наталі прааналізавала логіку працы функцый відэасувязі ў прыкладаннях Signal, Facebook Messenger, Google Duo, JioChat і Mocha. На такі крок яе падштурхнула не толькі цікаўнасць, але і раней набыты вопыт. Справа ў тым, што амаль два гады таму ў функцыі FaceTime на прыладах Apple выявілі вельмі прыкра ўразлівасць: без ведама ахвяры зламыснік мог захапіць карцінку з камеры тэлефона.
Прычым справа не ва ўзломе прыкладання, а ў выкарыстанні некарэктнай логікі працы самой падсістэмы відэасувязі. На ўзроўні абмену пакетамі з пацвярджэннем сувязі ініцыюе злучэнне бок можа падмяніць дазвол на перадачу малюнкі ад мэтавага карыстальніка. І праблема ў тым, што на баку ахвяры праграма гэтую маніпуляцыю палічыць легітымнай, нават без дзеянняў карыстальніка.
Так, у такой схемы ёсць абмежаванні. Па-першае, неабходна ініцыяваць званок і зрабіць гэта пэўным чынам. Гэта значыць ахвяра заўсёды будзе мець магчымасць адрэагаваць. Па-другое, порцыя атрыманых у выніку такога шпіянажу дадзеных будзе вельмі абмежаваная. Малюнак-то фіксуецца з франтальнай камеры - і не факт, што яна глядзіць куды трэба зламысніку. Да таго ж ахвяра ўбачыць званок і альбо прыме яго, альбо скіне. Іншымі словамі, ўтойліва можна пераканацца толькі ў тым, хто возьме смартфон у рукі, калі той зазвініць.
Але сітуацыя ўсё роўна непрыемная, ды і такіх звестак часам можа быць дастаткова. Наталі знайшла падобныя ўразлівасці ва ўсіх вышэйапісаных прыкладаннях. Іх механізм працы адрозніваўся ад мессенджера да мессенджер, але прынцыпова схема заставалася той жа. Добрая навіна для аматараў Telegram і Viber: яны такога заганы пазбаўленыя, з іх відэазванкамі усё ў парадку. Прынамсі, пакуль праблем не выяўлена.
У Google Duo ўразлівасць зачынілі ў снежні мінулага года, у Facebook Messenger - у лістападзе, JioChat і Mocha абнавіліся яшчэ ўлетку. А вось раней усіх аналагічную памылку выправіў Signal, яшчэ ў верасні 2019 года, але гэты мессенджер і даследавалі першым. Такім чынам, спецыялісты па кібербяспецы лішні раз нагадалі пра неабходнасць рэгулярных абнаўленняў устаноўленых прыкладанняў. Можна не ведаць аб сур'ёзнай праблеме, але распрацоўшчыкі ўжо яе выправілі.
Сільвановіч асобна адзначае, што яна прааналізавала толькі функцыю відэазванкоў паміж двума карыстальнікамі. Гэта значыць толькі той выпадак, у якім злучэнне ўсталёўваецца паміж «абанентамі» напрамую. У сваёй справаздачы яна анансавала наступны этап працы - групавыя відэаканферэнцыі ў папулярных мессенджеров.
Крыніца: Naked Science