I bloggen på webstedet for Google Project Zero Team beskrev Natalie Silvanovich (Natalie Silvanovich) sin forskning om sikkerheden for populære ansøgninger om kommunikation. Hun tilbragte arbejdet i 2020 og i overensstemmelse med den ulovlige kode for de såkaldte hvide hackere offentliggjorde resultaterne efter sårbarhederne elimineret.
Natalie analyserede logikken på video funktioner i signal, Facebook Messenger, Google Duo, Jiochat og Mocha. På et sådant skridt blev det ikke kun nysgerrighed, men også den tidligere erhvervede erfaring. Faktum er, at omkring to år siden i facetime-funktionen på Apple-enheder fandt en lang sårbarhed: uden kendskab til offeret kunne angriberen fange et billede fra telefonkameraet.
Desuden er det ikke i hacking af en ansøgning, men at bruge den forkerte logik på selve videoforbindelsen. Ved udveksling af pakker, der bekræfter forbindelsen, kan initiativforbindelsen erstatte tilladelsen til at overføre billedet fra målbrugeren. Og problemet er, at programmet på ofre side vil overveje denne manipulation legitime, selv uden brugerhandlinger.
Ja, denne ordning har begrænsninger. For det første skal du indlede et opkald og gøre det på en bestemt måde. Det vil sige, offeret vil altid kunne reagere. For det andet vil den del af de opnåede data som følge heraf være meget begrænset. Billedet er fast fra frontkameraet - og det er ikke en kendsgerning, at det ser ud, hvor du har brug for en angriber. Desuden vil offeret se opkaldet og enten tage det eller dråber det. Med andre ord er det hemmeligt muligt at sørge for kun smartphone i smartphoneens hænder, når han ranns.
Men situationen er stadig ubehagelig, og der kan undertiden være nok sådanne oplysninger. Natalie fandt lignende sårbarheder i alle ovennævnte applikationer. Deres arbejdsmekanisme varierede fra budbringeren til messenger, men en fundamentalt ordning forblev den samme. Gode nyheder til telegram og viber elskere: de er så berøvet sådanne fejl, med deres videoopkald alt er i orden. I det mindste er hidtil ikke blevet identificeret.
I Google Duo blev sårbarheden lukket i december sidste år, på Facebook Messenger - i november blev Jiochat og Mocha opdateret om sommeren. Men før alt korrigerede signalet en lignende fejl, tilbage i september 2019, men denne messenger og undersøgte den første. Således mindede CyberSecurity-eksperter igen behovet for regelmæssige opdateringer af installerede applikationer. Du kan ikke vide om et alvorligt problem, men udviklerne har allerede rettet det.
Silvanovich bemærker separat, at hun kun analyserede funktionen af videoopkald mellem to brugere. Det er kun tilfældet, hvor forbindelsen er etableret mellem "abonnenterne" direkte. I sin rapport annoncerede hun den næste fase af arbejdspladsen - gruppevideokonferencer i populære budbringere.
Kilde: Naked Science