En la blogo en la retejo de la Google Project Zero Team, Natalie Silvanovich (Natalie Silvanoviĉ) priskribis ĝian esploradon pri la sekureco de popularaj aplikoj por komunikado. Ŝi pasigis la laboron en 2020 kaj, konforme al la kontraŭleĝa kodo de la tielnomitaj blankaj hackistoj, publikigitaj rezultoj post kiam la vundeblecoj estis forigitaj.
Natalie analizis la logikon de la videaj trajtoj en signalo, Facebook Messenger, Google Duo, Jiochat kaj Mocha. Je tia paŝo, ĝi estis rekomendinta ne nur scivolemon, sed ankaŭ la antaŭe akirita sperto. La fakto estas, ke antaŭ proksimume du jaroj en la Facetime-funkcio pri Apple-aparatoj trovis longan vundeblecon: sen la scio pri la viktimo, la atakanto povus kapti bildon de la telefona fotilo.
Plie, ĝi ne estas en piratado de apliko, sed uzi la malĝustan logikon de la laboro de la vidbendo mem. Je la interŝanĝo de pakoj konfirmantaj la konekton, la komenca konekto povas anstataŭi la permeson transdoni la bildon de la cela uzanto. Kaj la problemo estas, ke sur la ofero flanko, la programo konsideros ĉi tiun manipuladon legitima, eĉ sen uzanto-agoj.
Jes, ĉi tiu skemo havas limojn. Unue, vi devas komenci alvokon kaj fari ĝin laŭ certa maniero. Tio estas, la viktimo ĉiam povos respondi. Due, la parto de la datumoj akiritaj kiel rezulto estos tre limigita. La bildo estas fiksita de la antaŭa fotilo - kaj ĝi ne estas fakto, ke ĝi aspektas kie vi bezonas atakanton. Krome, la ofero vidos la alvokon kaj aŭ prenos ĝin aŭ faligas ĝin. Alivorte, ĝi sekrete eblas certigi nur la smartphone en la manoj de la smartphone kiam li gennas.
Sed la situacio ankoraŭ estas malagrabla, kaj foje povas esti sufiĉe da informoj. Natalie trovis similajn vundeblecojn en ĉiuj supraj aplikoj. Ilia labora mekanismo diferencis de la mesaĝisto al la mesaĝisto, sed fundamente skemo restis la sama. Bonaj novaĵoj por telegramo kaj Viber-amantoj: ili estas tiel senigitaj de tia difekto, kun iliaj videokoj ĉio estas en ordo. Almenaŭ, ĝis nun ne estis identigita.
En Google Duo, la vundebleco estis fermita en decembro pasinta jaro, ĉe Facebook Messenger - en novembro, Jiochat kaj Mocha estis ĝisdatigitaj en la somero. Sed antaŭ ĉio, signalo korektis similan eraron, reen en septembro 2019, sed ĉi tiu mesaĝisto kaj esploris la unuan. Tiel, spertuloj pri cibersekureco denove memorigis la bezonon de regulaj ĝisdatigoj de instalitaj aplikoj. Vi ne povas scii pri grava problemo, sed la programistoj jam korektis ĝin.
Silvanoviĉ aparte notas, ke ŝi analizis nur la funkcion de videoludoj inter du uzantoj. Tio estas, nur la kazo, en kiu la konekto estas establita inter la "abonantoj" rekte. En lia raporto, ŝi anoncis la sekvan etapon de laboro - grupa vidbendo en popularaj mesaĝistoj.
Fonto: Nuda Scienco