En el blog en el sitio web del equipo de Google Project Zero, Natalie Silvanovich (Natalie Silvanovich) describió su investigación sobre la seguridad de las solicitudes populares para la comunicación. Pasó el trabajo en 2020 y, de acuerdo con el código ilegal de los llamados hackers blancos, los resultados publicados después de las vulnerabilidades fueron eliminadas.
Natalie analizó la lógica de las funciones de video en señal, Facebook Messenger, Google Duo, Jiochat y Mocha. A tal paso, fue abogado no solo de la curiosidad, sino también la experiencia previamente adquirida. El hecho es que hace aproximadamente dos años en la función de FaceTime en dispositivos Apple encontraron una larga vulnerabilidad: sin el conocimiento de la víctima, el atacante podría capturar una imagen de la cámara del teléfono.
Además, no está en hacking una aplicación, sino utilizar la lógica incorrecta del trabajo del enlace de video. En el intercambio de paquetes que confirman la conexión, la conexión inicial puede reemplazar el permiso para transferir la imagen desde el usuario de destino. Y el problema es que, en el lado del sacrificio, el programa considerará esta manipulación legítima, incluso sin acciones de los usuarios.
Sí, este esquema tiene limitaciones. Primero, debe iniciar una llamada y hacerlo de cierta manera. Es decir, la víctima siempre podrá responder. En segundo lugar, la parte de los datos obtenidos como resultado será muy limitada. La imagen se fija desde la cámara frontal, y no es un hecho que se vea donde necesita un atacante. Además, el sacrificio verá la llamada y lo tomará o lo deja caer. En otras palabras, es posiblemente posible asegurarse solo al teléfono inteligente en manos del teléfono inteligente cuando él
Pero la situación sigue siendo desagradable, y a veces puede ser suficiente información. Natalie encontró vulnerabilidades similares en todas las aplicaciones anteriores. Su mecanismo de trabajo difería del mensajero al mensajero, pero un esquema fundamentalmente seguía siendo el mismo. Buenas noticias para los amantes del telegrama y los viberos: están tan privados de tanta falla, con sus videocladas, todo está en orden. Al menos, hasta ahora no se han identificado.
En Google Duo, la vulnerabilidad se cerró en diciembre del año pasado, en Facebook Messenger, en noviembre, Jiochat y Mocha se actualizaron en el verano. Pero antes de todo, la señal corrigió un error similar, en septiembre de 2019, pero este mensajero e investigó el primero. Por lo tanto, los expertos de ciberseguridad recordaron una vez más la necesidad de actualizaciones periódicas de las aplicaciones instaladas. No se puede saber sobre un problema grave, pero los desarrolladores ya lo han corregido.
Silvanovich señala por separado que analizó solo la función de videollamadas entre dos usuarios. Es decir, solo el caso en el que se establece la conexión entre los "suscriptores" directamente. En su informe, anunció la siguiente etapa de trabajo: videoconferencia en grupo en mensajeros populares.
Fuente: Ciencia desnuda