V blogu na internetových stránkách týmu Google Project Natalie Silvanovich (Natalie Silvanovich) popsal svůj výzkum bezpečnostních aplikací pro komunikaci. Práce strávila v roce 2020 a v souladu s protiprávním zákoníkem tzv. Bílých hackerů, publikované výsledky po odstranění zranitelností.
Natalie analyzovala logiku video funkcí ve signálu, Facebook Messenger, Google Duo, Jiochat a Mocha. V takovém kroku byl obhajován nejen zvědavost, ale také dříve získané zkušenosti. Skutečnost je, že asi před dvěma lety v Facetime funkce na zařízení Apple našel dlouhou zranitelnost: Bez znalosti oběti mohl útočník zachytit obrázek z telefonu fotoaparátu.
Navíc není v hackování aplikace, ale použít nesprávnou logiku práce samotného video odkazu. Při výměně balíčků potvrzujících spojení může iniciační spojení nahradit oprávnění k přenosu snímku z cílového uživatele. A problém je, že na straně oběti bude program zvážit tuto manipulaci legitimní, i bez uživatelských akcí.
Ano, toto schéma má omezení. Za prvé, musíte zavolat a udělat to určitým způsobem. To znamená, že oběť bude vždy schopna reagovat. Za druhé, část dat získaných v důsledku toho bude velmi omezená. Obraz je upevněn z přední kamery - a není to fakt, že to vypadá tam, kde potřebujete útočníkovi. Kromě toho bude oběť uvidí volání a buď ji vezme nebo upustí. Jinými slovy, je tajně možné ujistit se pouze smartphone v rukou smartphonu, když on ranns.
Ale situace je stále nepříjemná, a tam může být někdy dost těchto informací. Natalie našla podobné zranitelnosti ve všech výše uvedených aplikacích. Jejich pracovní mechanismus se lišel od posla do posla, ale zásadně systém zůstal totéž. Dobrá zpráva pro milovníky společnosti Telegram a Viber: Jsou tak zbaveni takové chyby, přičemž jejich video volání je vše v pořádku. Nejméně dosud nebyly identifikovány.
Ve službě Google Duo byla chyba zabezpečení uzavřena v prosinci loni, na Facebooku Messenger - v listopadu, Jiochat a Mocha byly aktualizovány v létě. Ale předtím, signál opravil podobnou chybu, v září 2019, ale tento posel a zkoumal první. Odborníci kybernetické bezpečnosti tedy opět připomněli potřebu pravidelných aktualizací nainstalovaných aplikací. Nemůžete vědět o vážném problému, ale vývojáři ji již opravili.
Silvanovich samostatně konstatuje, že analyzovala pouze funkci videohovorů mezi dvěma uživateli. To znamená, že pouze případ, kdy je spojení stanoveno mezi "předplatiteli" přímo. Ve své zprávě oznámila další fázi práce - skupinová videokonference v populárních poslech.
Zdroj: Nahá věda