Al bloc del lloc web de l'equip de Google Project Zero, Natalie Silvanovich (Natalie Silvanovich) va descriure la seva investigació sobre la seguretat de les aplicacions populars de la comunicació. Va passar el treball el 2020 i, d'acord amb el codi il·lícit dels anomenats hackers blancs, va publicar resultats després de ser eliminades les vulnerabilitats.
Natalie va analitzar la lògica de les funcions de vídeo en senyal, Facebook Messenger, Google Duo, JioChat i Mocha. En aquest pas, es va defensar no només la curiositat, sinó també l'experiència adquirida anteriorment. El fet és que fa uns dos anys a la funció FaceTime en dispositius d'Apple va trobar una llarga vulnerabilitat: sense el coneixement de la víctima, l'atacant podria capturar una imatge de la càmera telefònica.
A més, no està en piratejar una aplicació, sinó utilitzar la lògica incorrecta del treball de l'enllaç de vídeo. A l'intercanvi de paquets que confirmen la connexió, la connexió d'iniciació pot substituir el permís per transferir la imatge de l'usuari objectiu. I el problema és que en el costat del sacrifici, el programa considerarà aquesta manipulació legítima, fins i tot sense accions de l'usuari.
Sí, aquest esquema té limitacions. Primer, heu d'iniciar una trucada i fer-ho d'una manera determinada. És a dir, la víctima sempre serà capaç de respondre. En segon lloc, la part de les dades obtingudes com a resultat serà molt limitada. La imatge es fixa a la càmera frontal, i no és un fet que sembli on necessiteu un atacant. A més, el sacrifici veurà la trucada i ho prendrà o la retindrà. En altres paraules, és secretament possible assegurar-se només el telèfon intel·ligent a les mans del Smartphone quan va llançar.
Però la situació encara és desagradable i de vegades hi pot haver prou informació. Natalie va trobar vulnerabilitats similars en totes les aplicacions anteriors. El seu mecanisme de treball va diferir del missatger al missatger, però un esquema fonamental va romandre igual. Bones notícies per a telegrames i amants de Viber: són tan privats d'aquest defecte, amb les seves trucades de vídeo tot està en ordre. Almenys, fins ara no s'han identificat.
A Google Duo, la vulnerabilitat es va tancar al desembre de l'any passat, a Facebook Messenger - Al novembre, JioChat i Mocha es van actualitzar a l'estiu. Però abans de tot, el senyal va corregir un error similar, al setembre de 2019, però aquest missatger i va investigar el primer. Per tant, els experts de la ciberseguretat es recorden una vegada més la necessitat d'actualitzacions periòdiques de les aplicacions instal·lades. No es pot saber sobre un problema greu, però els desenvolupadors ho han corregit.
Silvanovich nota per separat que va analitzar només la funció de les trucades de vídeo entre dos usuaris. És a dir, només el cas en què s'estableix la connexió entre els "subscriptors" directament. En el seu informe, va anunciar la següent etapa de la videoconferència de grups de treball en missatgers populars.
Font: Ciència nua