Im Blog auf der Website des Google Project Zero Team bezeichnete Natalie Silvanovich (Natalie Silvanovich) seine Forschung über die Sicherheit der beliebten Anwendungen für die Kommunikation. Sie verbrachte die Arbeit im Jahr 2020 und in Übereinstimmung mit dem rechtswidrigen Code der sogenannten weißen Hacker, veröffentlichte Ergebnisse, nachdem die Schwachstellen beseitigt wurden, nachdem die Schwachstellen beseitigt wurden.
Natalie analysierte die Logik der Videofunktionen in Signal, Facebook Messenger, Google Duo, Jiochat und Mokka. In einem solchen Schritt wurde es nicht nur Neugier, sondern auch die zuvor erworbene Erfahrung befürwortet. Tatsache ist, dass vor etwa zwei Jahren in der Facetime-Funktion auf Apple-Geräten eine lange Anfälligkeit gefunden: Ohne das Wissen des Opfers könnte der Angreifer ein Bild von der Telefonkamera aufnehmen.
Darüber hinaus hackt es nicht beim Hacken einer Anwendung, sondern um die falsche Logik der Arbeit des Videoverbindens selbst zu verwenden. Beim Austausch von Paketen, die die Verbindung bestätigen, kann die Initiativverbindung die Erlaubnis ersetzen, das Bild vom Zielbenutzer zu übertragen. Das Problem ist, dass das Programm auf der Opferseite diese Manipulation legitim betrachten wird, auch ohne Benutzeraktionen.
Ja, dieses Schema hat Einschränkungen. Erstens müssen Sie einen Anruf initiieren und auf eine bestimmte Weise tun. Das heißt, das Opfer wird immer reagieren. Zweitens ist der Teil der als Ergebnis erhaltenen Daten sehr begrenzt. Das Bild ist von der Frontkamera fixiert - und es ist keine Tatsache, dass es aussieht, wo Sie einen Angreifer benötigen. Darüber hinaus wird das Opfer den Anruf sehen und entweder nehmen oder fällt es ab. Mit anderen Worten, es ist heimlich möglich, sicherzustellen, dass nur das Smartphone in den Händen des Smartphones, wenn er Ranns ist.
Die Situation ist jedoch noch unangenehm, und es kann manchmal genug solcher Informationen sein. Natalie fand in allen obigen Anwendungen ähnliche Schwachstellen. Ihr Arbeitsmechanismus unterschieden sich vom Messenger an den Messenger, aber ein grundsätzliches Schema blieb gleich. Gute Nachrichten für Telegramm und Viber-Liebhaber: Sie sind so beraubt von einem solchen Fehler, mit ihren Videoanrufen alles ist in Ordnung. Zumindest wurden bisher nicht identifiziert worden.
In Google Duo wurde die Sicherheitsanfälligkeit im Dezember letzten Jahres geschlossen, bei Facebook Messenger - im November wurden Jiochat und Mokka im Sommer aktualisiert. Aber vor allem korrigierte das Signal einen ähnlichen Fehler, im September 2019, aber diesen Messenger und untersuchte den ersten. Daher erinnten Cybersecurity-Experten erneut an, dass regelmäßige Updates installierter Anwendungen erforderlich sind. Sie können nicht über ein ernstes Problem wissen, aber die Entwickler haben es bereits korrigiert.
Silvanovich stellt fest, dass sie nur die Funktion von Videoanrufen zwischen zwei Benutzern analysiert. Das heißt, nur der Fall, in dem die Verbindung direkt zwischen den "Abonnenten" hergestellt wird. In seinem Bericht kündigte sie die nächste Stufe der Arbeit an - Gruppenkonferenzen in beliebten Boten.
Quelle: Naked Science