В блога на уебсайта на Google Project Zero Team, Натали Силванович (Натали Силванович) описва проучването си за сигурността на популярните приложения за комуникация. Тя прекара работата през 2020 г. и в съответствие с незаконния кодекс на така наречените бели хакери, публикувани резултати след елиминиране на уязвимите.
Натали анализира логиката на видео функциите в сигнал, Facebook Messenger, Google Duo, Jiochat и Mocha. На такава стъпка тя е препоръчана не само любопитство, но и преди това придобития опит. Факт е, че преди около две години в FaceTime функцията на Apple устройства откриват дълга уязвимост: без познаването на жертвата, нападателят може да заснема снимка от камерата на телефона.
Освен това, не е в хакване на приложение, а да използвате неправилната логика на работата на самата видео връзка. При обмена на опаковки, потвърждаващи връзката, иницииращата връзка може да замени разрешението за прехвърляне на картината от целевия потребител. И проблемът е, че от страна на жертвата, програмата ще разгледа тази манипулация легитимна, дори без действия на потребителите.
Да, тази схема има ограничения. Първо, трябва да инициирате повикване и да го направите по определен начин. Това означава, че жертвата винаги ще може да отговори. Второ, частта от получените в резултат на това данните ще бъде много ограничена. Картината е фиксирана от предната камера - и не е факт, че изглежда къде се нуждаете от нападател. В допълнение, жертвата ще види повикването и ще го вземе или го пусне. С други думи, е възможно да се уверите, че е само смартфонът в ръцете на смартфона, когато той ranns.
Но ситуацията все още е неприятна и понякога може да има достатъчно такава информация. Натали намери подобни уязвимости във всички горепосочени приложения. Техният работен механизъм се различава от пратеника към пратеника, но фундаментално схема остава същата. Добри новини за любителите на телеграма и виберта: те са толкова лишени от такъв недостатък, с техните видео разговори всичко е в ред. Поне досега не са идентифицирани.
В Google Duo уязвимостта е приключила през декември миналата година, в Facebook Messenger - през ноември, Jiochat и Mocha бяха актуализирани през лятото. Но преди всичко сигнализирате подобна грешка, обратно през септември 2019 г., но този пратеник и разследва първото. Така експертите на киберсигурност отново напомнят необходимостта от редовни актуализации на инсталираните приложения. Не можете да знаете за сериозен проблем, но разработчиците вече го коригират.
Силванович отделно отбелязва, че анализира само функцията на видео разговорите между двама потребители. Това е само случаят, в който се установява връзката между "абонати" директно. В доклада си тя обяви следващия етап на работа - групова видеоконферентна връзка в популярни пратеници.
Източник: гола наука