Στο Blog στην ιστοσελίδα του Google Project Zero Team, η Natalie Silvanovich (Natalie Silvanovich) περιέγραψε την έρευνά της σχετικά με την ασφάλεια των δημοφιλών εφαρμογών επικοινωνίας. Πέρασε το έργο το 2020 και, σύμφωνα με τον παράνομο κώδικα των λεγόμενων λευκών χάκερ, δημοσιευμένα αποτελέσματα μετά την εξάλειψη των τρωτών σημείων.
Η Natalie ανέλυσε τη λογική των χαρακτηριστικών βίντεο στο σήμα, το Facebook Messenger, το Google Duo, Jiochat και Mocha. Σε ένα τέτοιο βήμα, υποστηρίχθηκε όχι μόνο την περιέργεια, αλλά και την προηγουμένως αποκτηθείσα εμπειρία. Το γεγονός είναι ότι περίπου πριν από δύο χρόνια στη λειτουργία FaceTime στις συσκευές της Apple βρήκαν μια μακρά ευπάθεια: χωρίς τη γνώση του θύματος, ο εισβολέας θα μπορούσε να συλλάβει μια φωτογραφία από την τηλεφωνική κάμερα.
Επιπλέον, δεν είναι σε hacking μια εφαρμογή, αλλά για να χρησιμοποιήσετε την εσφαλμένη λογική του έργου του ίδιου του συνδέσμου βίντεο. Κατά την ανταλλαγή συσκευασιών που επιβεβαιώνουν τη σύνδεση, η σύνδεση έναρξης μπορεί να αντικαταστήσει την άδεια για τη μεταφορά της εικόνας από τον χρήστη στόχο. Και το πρόβλημα είναι ότι στη θυσία πλευρά, το πρόγραμμα θα εξετάσει αυτή τη χειραγώγηση νόμιμη, ακόμη και χωρίς δράσεις χρηστών.
Ναι, το καθεστώς αυτό έχει περιορισμούς. Πρώτον, πρέπει να ξεκινήσετε μια κλήση και να το κάνετε με κάποιο τρόπο. Δηλαδή, το θύμα θα είναι πάντα σε θέση να ανταποκριθεί. Δεύτερον, το τμήμα των δεδομένων που λαμβάνονται ως αποτέλεσμα θα είναι πολύ περιορισμένες. Η εικόνα είναι σταθερή από την μπροστινή κάμερα - και δεν είναι γεγονός ότι φαίνεται πού χρειάζεστε έναν εισβολέα. Επιπλέον, η θυσία θα δει την κλήση και είτε θα το πάρει είτε θα το πέσει. Με άλλα λόγια, είναι κρυφά πιθανό να βεβαιωθείτε ότι μόνο το smartphone στα χέρια του smartphone όταν ο Ranns.
Αλλά η κατάσταση εξακολουθεί να είναι δυσάρεστη, και μερικές φορές υπάρχουν αρκετές πληροφορίες. Η Natalie βρήκε παρόμοια τρωτά σημεία σε όλες τις παραπάνω εφαρμογές. Ο μηχανισμός εργασίας τους διέφερε από τον αγγελιοφόρο στον αγγελιοφόρο, αλλά ένα βασικό καθεστώς παρέμεινε το ίδιο. Καλά νέα για τους τηλεγράφημα και τους λάτρεις των εχθρών: Είναι τόσο στερημένοι από τέτοιου είδους ελάττωμα, με τις βιντεοκλήσεις τους όλα είναι εντάξει. Τουλάχιστον, μέχρι στιγμής δεν έχουν εντοπιστεί.
Στο Google Duo, η ευπάθεια έκλεισε τον περασμένο Δεκέμβριο, στο Facebook Messenger - τον Νοέμβριο, το Jiochat και το Mocha ενημερώθηκαν το καλοκαίρι. Αλλά πριν από όλα, το σήμα διόρθωσε ένα παρόμοιο λάθος, πίσω τον Σεπτέμβριο του 2019, αλλά αυτός ο αγγελιοφόρος και διερευνήθηκε ο πρώτος. Έτσι, οι εμπειρογνώμονες του κυβερνοχώρου υπενθύμισαν και πάλι την ανάγκη για τακτικές ενημερώσεις των εγκατεστημένων εφαρμογών. Δεν μπορείτε να γνωρίζετε για ένα σοβαρό πρόβλημα, αλλά οι προγραμματιστές έχουν ήδη διορθώσει.
Ο Silvanovich σημειώνει ξεχωριστά ότι ανέλυσε μόνο τη λειτουργία των κλήσεων βίντεο μεταξύ δύο χρηστών. Δηλαδή, μόνο η περίπτωση στην οποία είναι εγκατεστημένη η σύνδεση μεταξύ των «συνδρομητών» άμεσα. Στην έκθεσή του, ανακοίνωσε το επόμενο στάδιο της εργασίας - ομαδική τηλεδιάσκεψη σε δημοφιλείς αγγελιοφόρους.
Πηγή: Γυμνή επιστήμη