Blogis veebilehel Google'i projekti Zero meeskond, Natalie Silvanovitši (Natalie Silvanovitš) kirjeldas oma uuringuid populaarsete rakenduste turvalisuse kohta. Ta veetis töö 2020. aastal ja vastavalt nn valgete häkkerite ebaseadusliku koodiga avaldatud tulemused pärast haavatavuste kõrvaldamist.
Natalie analüüsis video funktsioonide loogikat signaali, Facebooki messenger, Google Duo, Jiochat ja Mocha. Sellisel sammul toetas ta mitte ainult uudishimu, vaid ka varem omandatud kogemusi. Fakt on see, et umbes kaks aastat tagasi leitud FaceTime funktsioon Apple seadmed leidsid pika haavatavuse: ilma teadmata ohvri, ründaja pildi pildi telefoni kaamera.
Veelgi enam, see ei ole rakenduse häkkimisel, vaid video lingi töö ebaõige loogika kasutamiseks ise. Ühenduse kinnitavate pakendite vahetamise ajal võib algatusühendus asendada pildi sihtkasutaja ülekandmise luba. Ja probleem on see, et ohverdamise poolel kaalub programm seda manipuleerimist õigustatud, isegi ilma kasutajatoiminguteta.
Jah, sellel skeemis on piirangud. Esiteks peate algatama kõne ja tehke seda teatud viisil. See tähendab, et ohver on alati võimalik vastata. Teiseks on osa saadud andmete osa tulemusena väga piiratud. Pilt on fikseeritud esikaamerast - ja see ei ole asjaolu, et see tundub, kuhu vajate ründajat. Lisaks näeb ohverdamine kõne ja kas selle võtke või langeb selle. Teisisõnu, salaja on võimalik veenduda ainult nutitelefoni käes nutitelefoni, kui ta rands.
Kuid olukord on ikka veel ebameeldiv ja mõnikord võib selline teave piisav. Natalie leidis sarnaseid haavatavusi kõigis ülaltoodud rakendustes. Nende töömehhanism erines messengerist sõnumitoojani, kuid põhimõtteliselt kava jäi samaks. Hea uudis telegrammile ja Viber armastajatele: nad on sellisest vigast jäetud, nende videokõned kõik on korras. Vähemalt seni ei ole tuvastatud.
Google Duo haavatavust suleti eelmise aasta detsembris, Facebook Messengeris - novembris, Jiochat ja Mocha uuendatud suvel. Kuid ennekõike parandas signaal sarnast vea, tagasi 2019. aasta septembris, kuid see messenger ja uuris esimest. Seega meelde jälle küberjulgeoleku eksperdid uuesti installitud rakenduste korrapäraste uuenduste järele. Te ei saa tõsise probleemi kohta teada, kuid arendajad on selle juba parandanud.
Silvanovich eraldi märgib, et ta analüüsis ainult kahe kasutaja vahel videokõnede funktsiooni. See tähendab ainult juhtumit, mil ühenduse abonentide vaheline ühendus on otseselt asutatud. Oma aruandes teatas ta töökoha järgmisest etapist - grupi videokonverentsi populaarsetes sõnumitoojates.
Allikas: alasti teadus