U blogu na web stranici Google projekta Zero tim, Natalie Silvanovič (Natalie Silvanovič) opisao je svoje istraživanje o sigurnosti popularnih aplikacija za komunikaciju. Rad je provela 2020. godine i u skladu s nezakonitim kodeksom takozvanih bijelih hakera, objavljene rezultate nakon što su ranjivosti eliminirane.
Natalie je analizirala logiku video funkcija u signalu, Facebook Messenger, Google Duo, Jiochat i Mocha. Na takav je korak zalagao se ne samo znatiželja, već i prethodno stečeno iskustvo. Činjenica je da se prije otprilike dvije godine u facetime funkciji na Apple uređajima pronašla duga ranjivost: bez znanja žrtve, napadač bi mogao snimiti sliku iz telefonske kamere.
Štaviše, nije u hakiranju aplikacije, već korištenje pogrešne logike rada same veze video zapisa. Na razmjeni paketa koji potvrđuju vezu, pokretanje veze može zamijeniti dozvolu za prijenos slike od ciljanog korisnika. A problem je što će na žrtvoru, program razmotriti ovu manipulaciju legitimnim, čak i bez radnji korisnika.
Da, ova šema ima ograničenja. Prvo, morate pokrenuti poziv i to učiniti na određeni način. To jest, žrtva će uvijek moći odgovoriti. Drugo, dio podataka dobivenih kao rezultat bit će vrlo ograničen. Slika je fiksirana sa prednje kamere - a to nije činjenica da izgleda gdje vam treba napadač. Pored toga, žrtva će vidjeti poziv i ili ga uzeti ili ispustiti. Drugim riječima, tajno je moguće osigurati samo pametni telefon u rukama pametnog telefona kada je rastela.
Ali situacija je i dalje neugodna, a ponekad mogu biti dovoljno takvih podataka. Natalie je pronašla slične ranjivosti u svim gore navedenim aplikacijama. Njihov radni mehanizam razlikovao se od glasnika do glasnika, ali u osnovi shema je ostala ista. Dobre vijesti za telegram i viber ljubitelje: tako su lišeni takve mane, sa svojim videozapisima sve je u redu. Barem, do sada nisu identificirani.
U Google Duu-u ranjivost je bila zatvorena u decembru prošle godine, na Facebooku Messenger - u novembru su u novembru bili ažurirani u ljeto. Ali prije svega, signal je ispravio sličnu grešku, povratak u septembru 2019. godine, ali ovaj glasnik i prvi su istraživali. Stoga su stručnjaci za cyber-sigurnosnost ponovo podsjetili potrebu za redovnim ažuriranjima instaliranih aplikacija. Ne možete znati za ozbiljan problem, ali programeri su to već ispravili.
Silvanovič zasebno napominje da je analizirala samo funkciju video poziva između dva korisnika. To jest, samo slučaj u kojem se uspostavlja veza između "pretplatnika". U svom izvještaju najavila je sljedeću fazu rada - grupni video konferencija u popularnim glasnicima.
Izvor: Gola nauka