Yn y blog ar wefan Tîm Prosiect Google, disgrifiodd Natalie Silvanovich (Natalie Silvanovich) ei ymchwil ar ddiogelwch ceisiadau poblogaidd ar gyfer cyfathrebu. Treuliodd y gwaith yn 2020 ac, yn unol â chod anghyfreithlon yr hacwyr gwyn a elwir, cyhoeddwyd canlyniadau ar ôl i'r gwendidau gael eu dileu.
Dadansoddodd Natalie resymeg y nodweddion fideo mewn signal, negesydd Facebook, Google Duo, Jiochod a Mocha. Ar gam mor gam, cafodd ei argymell nid yn unig chwilfrydedd, ond hefyd y profiad a gafwyd yn flaenorol. Y ffaith yw bod tua dwy flynedd yn ôl yn y swyddogaeth FaceTime ar ddyfeisiau Apple yn dod o hyd yn agored i niwed: Heb wybodaeth y dioddefwr, gallai'r ymosodwr ddal llun o'r camera ffôn.
Ar ben hynny, nid yw yn hacio cais, ond i ddefnyddio rhesymeg anghywir o waith y cyswllt fideo ei hun. Wrth gyfnewid pecynnau yn cadarnhau'r cysylltiad, gall y cysylltiad cychwyn ddisodli'r caniatâd i drosglwyddo'r llun o'r defnyddiwr targed. A'r broblem yw bod ar yr ochr aberthu, bydd y rhaglen yn ystyried y dilysu hwn yn gyfreithlon, hyd yn oed heb weithredoedd defnyddwyr.
Oes, mae cyfyngiadau ar y cynllun hwn. Yn gyntaf, mae angen i chi gychwyn galwad a'i wneud mewn ffordd benodol. Hynny yw, bydd y dioddefwr bob amser yn gallu ymateb. Yn ail, bydd cyfran y data a gafwyd o ganlyniad yn gyfyngedig iawn. Mae'r llun yn sefydlog o'r camera blaen - ac nid yw'n ffaith ei fod yn edrych lle mae angen ymosodwr arnoch. Yn ogystal, bydd yr aberth yn gweld yr alwad ac naill ai yn ei gymryd neu'n ei ddiferu. Hynny yw, mae'n gyfrinachol bosibl i wneud yn siŵr dim ond y ffôn clyfar yn nwylo'r ffôn clyfar pan fydd yn gorffen.
Ond mae'r sefyllfa'n dal yn annymunol, ac weithiau gall fod digon o wybodaeth o'r fath. Canfu Natalie gwendidau tebyg yn yr holl geisiadau uchod. Roedd eu mecanwaith gwaith yn wahanol i'r cennad i'r cennad, ond roedd cynllun sylfaenol yn parhau i fod yr un fath. Newyddion da ar gyfer Telegram a Lovers Viber: Maent mor ddifreintiedig o ddiffyg o'r fath, gyda'u galwadau fideo mae popeth mewn trefn. Hyd yn hyn, nid yw hyd yn hyn wedi'u nodi.
Yn Google Duo, cafodd y bregusrwydd ei gau ym mis Rhagfyr y llynedd, yn Facebook Messenger - ym mis Tachwedd, diweddarwyd Jiomat a Mocha yn yr haf. Ond cyn i bawb, cywirodd y signal gamgymeriad tebyg, yn ôl ym mis Medi 2019, ond mae'r cennad hwn ac yn ymchwilio i'r cyntaf. Felly, unwaith eto, atgoffodd arbenigwyr seiberecrwydd yr angen am ddiweddariadau rheolaidd o geisiadau wedi'u gosod. Ni allwch wybod am broblem ddifrifol, ond mae'r datblygwyr eisoes wedi cywiro hynny.
Mae Silvanovich ar wahân yn nodi ei bod yn dadansoddi swyddogaeth galwadau fideo yn unig rhwng dau ddefnyddiwr. Hynny yw, dim ond yr achos y mae'r cysylltiad yn cael ei sefydlu rhwng y "tanysgrifwyr" yn uniongyrchol. Yn ei adroddiad, cyhoeddodd y cam nesaf o waith - fideo-gynadledda grŵp mewn negeswyr poblogaidd.
Ffynhonnell: Gwyddoniaeth noeth